मैं केकेपीएचपी के साथ एक प्रणाली बना रहा हूं जिसे स्थायी रूप से सुरक्षित करने की आवश्यकता है, क्योंकि हम पैसे, ग्राहक के खाते आदि से निपट रहे हैं। अब तक सबकुछ बढ़िया काम कर रहा है, जब तक मुझे भुगतान प्लेटफॉर्म के साथ एकीकृत नहीं करना पड़ेगा मुझे अपनी साइट पर रीडायरेक्ट करने की आवश्यकता है और वे मेरे पास वापस रीडायरेक्ट करते हैं।PHP का session.referer_check मुझे किस प्रकार से सुरक्षित करता है?
यह मेरी देव मशीन (डीबग = 2) में ठीक काम करता है, लेकिन उत्पादन में, जब ग्राहक को रीडायरेक्ट किया जाता है, तो उसे अपने "लॉग इन एरिया" में वापस उतरने के बजाय लॉगिन प्रॉम्प्ट मिलता है। मुझे खोदने के बाद मुझे यह पता चला क्योंकि केकपीएचपी session.referer_check सेट करता है, जो HTTP_REFERER मेरे से दूसरे होस्ट से आता है, जो सत्रों को अमान्य करता है।
अब, सामान्य रूप से, मैं इसे दूसरे विचार के बिना अक्षम कर दूंगा, लेकिन इस प्रणाली में मैं सामान्य से सुरक्षा के बारे में थोड़ा अधिक चिंतित हूं।
मेरा प्रश्न वास्तव में session.referer_check से मुझे सुरक्षित रखने के लिए क्या है?
अगर मैं इसे बंद करता हूं तो मेरी साइट पर किस प्रकार का हमला/शोषण/बुरी चीज की जा सकती है?
मुझे लगता है कि यह कुछ कारण होना चाहिए कि यह क्यों मौजूद है, लेकिन मैं कल्पना नहीं कर सकता कि यह मुझसे क्या बचाएगा।
क्या आप मुझे कोई विचार दे सकते हैं?
क्या यह सुरक्षित अक्षम है?
आप
डैनियल
क्या आप 100% यह रेफरर की जांच कर रहे हैं और सीएसआरएफ के खिलाफ सुरक्षा के लिए पिछले अनुरोध में फॉर्म के साथ भेजे गए टोकन नहीं हैं? – Pablo
100% सुनिश्चित करें। केकेपीएचपी रेफरर की जांच नहीं कर रहा है, यह सिर्फ एक रेफरर_चेक (एक PHP फीचर जो रेफरर को स्वयं जांचता है: http://www.php.net/manual/en/session.configuration.php#ini.session.referer-check) - इसके अलावा, परिणाम जो मैं देख रहा हूं वह लोगों को लॉग आउट कर रहा है। केकपीएचपी क्या करता है जब इसे सीएसआरएफ टोकन पसंद नहीं होता है (या जब इसे प्राप्त नहीं होता है) "ब्लैकहोलिंग" होता है (मूल पृष्ठ, मूल रूप से) –
इसी प्रकार: http://stackoverflow.com/questions/22079477/cakephp -सतन-खो गया-बाद-एक-ओथ-रीडायरेक्ट – trante