ऐसा लगता है कि आप, क्रॉस साइट रिक्वेस्ट फोर्जरी सुरक्षा लागू करने के लिए कोशिश कर रहे हैं, जिसमें आपको यह सुनिश्चित करना होगा कि आपके वेब सर्वर से दिए गए HTML से अनुरोध का अनुरोध किया गया हो। इसके लिए रेफरर हेडर पर भरोसा न करें क्योंकि इसे अक्सर फ़ायरवॉल में छीन लिया जाता है, और इसका उपयोग किया जा सकता है।
इस तरह की सुरक्षा को कार्यान्वित करने के तरीके पर कुछ अच्छे स्रोतों के लिए ओडब्ल्यूएएसपी देखें। मूल रूप से यह इस प्रकार है:
एक सुरक्षित यादृच्छिक मूल्य उत्पन्न और उपयोगकर्ता के सत्र
हर HTML प्रपत्र के लिए पर यह छड़ी, एक छिपा मूल्य()
जब भी रूप में इस मूल्य में शामिल एक POST अनुरोध आपके सर्वर पर वापस आता है, जांचें कि छिपे हुए फ़ील्ड का मान, उपयोगकर्ता के सत्र में से एक जैसा है। यदि अनुरोध नहीं है तो अनुरोध को अस्वीकार करें।
क्योंकि alue प्रति उपयोगकर्ता अद्वितीय है, एक हमलावर बस पॉप्यूलेट मूल्यों के साथ एक रूप बना नहीं कर सकता है, और स्वचालित रूप से जावास्क्रिप्ट के साथ पोस्ट करने में उपयोगकर्ता चाल। अनुरोध खारिज कर दिया जाएगा क्योंकि हमलावर नहीं जानता कि छिपे हुए क्षेत्र के लिए अपने नकली रूप में किस मूल्य को शामिल करना है।
क्या आप रेफरर की तलाश में हैं? वह पृष्ठ जहां से उपयोगकर्ता आया था? –
क्या आपका वास्तव में "मेरी वेबसाइट से उत्पन्न" का मतलब था, या क्या आपका मतलब है "मेरी वेबसाइट से ब्राउज़र पर भेजे गए पृष्ठ पर एक फॉर्म से उत्पन्न"? वे बहुत अलग चीजें हैं। –
रेफरर हेडर पर भरोसा न करें। इसे भरोसा नहीं किया जा सकता है और अक्सर आंतरिक प्रणालियों के बारे में जानकारी लीक करने के लिए फायरवॉल में फंस जाता है। – Erlend