Comment obtenir une demande http origine en php

Je veux créer une API, et à l'API d'authentification des consommateurs, je vais vous donner une CLÉ API, Application-id et App Secret. Le problème est que je veux savoir où la Requête http est pour que je puisse savoir si l'Hôte qui fait que la demande est l'Hôte enregistré. Par exemple : www.someone.com a un app-id :0001, app-secret:1200 et de l'api-clés:458. Si cette informations d'identification sont utilisées pour faire Une demande, je veux savoir si le demandeur est vraiment www.someone.com

  • Pour l'origine l'utilisation de cette header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN'] . ""); et ensuite de vérifier les informations d'identification de GET ou POST variable
  • À l'aide de l'origine comme une mesure de sécurité qui est au-delà de l'inutile. Cet en-tête peut facilement être faux. Au lieu de cela, vous pourriez vouloir travailler avec un rappel à en passer un "jeton de demande" (pensez à la façon dont le protocole oauth flux de travaux).
  • À l'aide de HTTP_ORIGIN ou HTTP_REFERER sans vérifier eux est "par essence" même à faire"*", ce qui peut ouvrir de subtils des trous de sécurité est donc déconseillé, voir stackoverflow.com/questions/12001269/...
  • Une réponse à la question réelle "Comment obtenir une demande http origine" peut être trouvé ici: stackoverflow.com/questions/41326257/...
InformationsquelleAutor m_junior | 2014-08-27
  1. 3

    Utilisation $_SERVER['HTTP_REFERER']. C'est l'adresse de la page (le cas échéant) qui se réfère à l'agent utilisateur de la page en cours. Il est défini par l'agent utilisateur. Pas tous les agents d'utilisateur de définir ce, et certains offrent la possibilité de modifier HTTP_REFERER comme une caractéristique.

    Pour plus de restrictions, vous pouvez effectuer les opérations suivantes. example.com doit être changé à votre domaine.

    IIS défini ci-dessous dans la configuration web de:

    add name="Access-Control-Allow-Origin" value="http://www.example.com"

    Apache sur ci-dessous dans httpd.conf/apache.conf

    Header add Access-Control-Allow-Origin "http://www.example.com"
    • Le référent et l'origine sont deux choses différentes.
    • Pas tous les agents d'utilisateur de définir ce, et certains offrent la possibilité de modifier HTTP_REFERER comme une caractéristique. En bref, il ne peut pas vraiment faire confiance.
    • Cela m'a effectivement aidé, merci s'accoupler.
    • Une meilleure réponse à cette question peut être trouvée ici: stackoverflow.com/questions/41326257/...
    • Comme @DanFromGermany touché sur, l'ORIGINE et la REFERER sont deux choses différentes - HTTP_ORIGIN est le mieux dans ce cas que HTTP_REFERER; si HTTP_ORIGIN est manquant, alors vous pouvez revenir à l'utilisation d' HTTP_REFERER, mais je conseille à l'encontre de ce pour la sécurité (il est plus facile de changer le referer de l'origine, de l'origine est répertorié comme un "interdit" en-tête et les navigateurs doit empêcher d'éventuelles modifications à l'origine de la prise de la place).
    InformationsquelleAutor Sunit
  2. 16

    Généralement, cet en-tête doit faire le travail. Avoir le nom de domaine dans cet en-tête

    header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN'] . "");
//use domain name instead of $_SERVER['HTTP_ORIGIN'] above

    mais si vous voulez vérifier pour plus d'informations, utilisez quelque chose comme l'extrait de code suivant

    $allowed = array('domain1', 'domain2', 'domain3'); 

if(isset($_SERVER['HTTP_ORIGIN']) && in_array($_SERVER['HTTP_ORIGIN'], $allowed)){
    //SELECT credentials for this user account from database
    if(isset($_GET['api_key'], $_GET['app_secret'])
        && $_GET['api_key'] == 'api_key_from_db' 
        && $_GET['app_secret'] == 'app_secret_from_db'
    ){
        //all fine
    }else{
        //not allowed
    }
}else{
    //not allowed
}

    Si les utilisateurs doivent passer plus de données à votre service, de l'utilisation POST au lieu de GET

    • Si la valeur de $_SERVER['REMOTE_ADDR'] variable de me renvoie le Client_IP et non pas l'adresse du site web, Comment suis-je censé autheticate le site??
    • renvoie l'adresse IP du serveur dans lequel le script est en cours d'exécution.
    • Le $allowed tableau à partir de ci-dessus peut sembler même de cette façon $allowed = array('domain1' => '1.2.3.4', 'domain2' => '5.6.7.8', 'domain3' => '2.4.6.8'); et puis vous pouvez utiliser gethostbyname('domain') et comparez retourné IP de l'hôte avec l'adresse IP dans votre tableau.
    • Ça veut dire que Si un site web a un javascript qui fait un post à mon API, une fois que je reçois la demande de la valeur de $_SERVER['REMOTE_ADDR'] SERA rempli avec l'IP du site et de ne pas l'IP du client??? désolé pour l'ignorance niveau!
    • Pas de soucis, n'hésitez pas à demander 🙂 Si vous avez besoin de l'adresse IP de l'hôte (où est hébergé le site web) l'utilisation gethostbyname('www.your-client.com') mais si vous avez besoin de l'adresse IP de l'ordinateur à partir de provenance de la demande, utilisation $_SERVER['REMOTE_ADDR']
    • Au lieu de mettre tout leur possible origine, ce qui est mauvais par défaut, vous pouvez également utiliser *, ce qui n'est pas mieux. Cette réponse présente un problème de sécurité.
    • Pointant vers quelque chose qui pourrait vous sembler mal et en même temps de ne pas fournir d'autre, peut-être une meilleure solution, qui est par défaut un très mauvais, égoïste et même enfantin attitude.
    • comment est d'avoir un blanc-liste des permis d'origines une mauvaise chose?
    • Pas tous les utilisateurs des serveurs web fixera ce, et certains offrent la possibilité de modifier HTTP_ORIGIN comme une caractéristique. En bref, il ne peut pas vraiment faire confiance.
    • en-tête de ne pas présenter un problème de sécurité. Il n'y a pas de différence en matière de sécurité sur le côté serveur si cet en-tête est défini ot pas. Cet en-tête n'est là que pour ajouter de la sécurité à l'utilisateur final-côté. Donc pas de malicous site web peut utiliser votre API et de recevoir des données de session utilisateur (cookies). Et ce, uniquement si l'utilisateur utilise un navigateur commun qui est à l'écoute de cet en-tête et n'a pas été manipulé (par des virus, etc). Pour sécuriser le serveur côté, d'autres mesures doivent être prises.
    • De toute façon, il est préférable de ne header("Access-Control-Allow-Origin: " . $_SERVER['HTTP_ORIGIN'] . ""); dans la première if déclaration.
    • pourquoi avez-vous rejeté mon edit? Votre code a 4 erreurs de syntaxe et n'est pas optimal formaté de la SORTE.
    • Je ne suis pas sûr ce qui s'est passé quand j'ai commenté comme il y a un an. L'Important est la matrice de $allowed et qui fait d'elle une bonne réponse.
    • Comme une raison pour l'édition, vous avez mentionné une "amélioration de la mise en forme" et vous n'avez pas mentionné les erreurs de syntaxe. Personnellement, je n'aime pas les espaces après chaque mot-clé, alors j'ai pensé que ton montage n'est pas réellement une amélioration. Mais puisque vous avez raison à propos des erreurs de syntaxe, je les ai laissées de sorte que vous pouvez les corriger (encore une fois) et je vais accepter votre modifier. Désolé et merci 🙂
    • Je voulais juste vous remercier pour votre dernier commentaire 🙂
    • J'ai une question. Ne peut-on pas HTTP_ORIGIN valeur d'être usurpée/faux?

    InformationsquelleAutor hex494D49
  3. 5

    Laravel 5: dans la méthode de requête contrôleur:

    $origin = request()->headers->get('origin');
    • pour obtenir tous les en-têtes: request()->headers->all();
    InformationsquelleAutor Kamil Kiełczewski
  4. 2

    Je pense que ce que tu veux dire, c'est que vous voulez accéder à "l'Origine" de l'en-tête en-têtes de la requête (par opposition à définir dans les en-têtes de réponse).

    Pour cela, le plus simple est d'accéder à la construit en getallheaders() fonction - qui est un alias pour apache_request_headers() - N. B. c'est en supposant que vous utilisez php en tant que module.

    Ce retourne un tableau afin de l'en-tête d'Origine devrait être disponible comme ceci:

    $request_headers = getallheaders();
$origin = $request_headers['Origin'];

    Si vous utilisez php via quelque chose comme fastcgi alors je crois qu'il serait mis à disposition dans l'environnement - généralement portés à l'actif et préfixé par "HTTP_", il devrait donc être $_SERVER['HTTP_ORIGIN'].

    Espoir qui aide à quiconque cherche à présent 🙂

    • getallheaders(); doen existe pas en php-fpm ou php fastcgi
    • Oui c'est pourquoi j'ai mentionné que c'est en supposant que vous utilisez php en tant que module (mod_php) et que, sinon, il est disponible comme une variable d'environnement.
    InformationsquelleAutor sensadrome
  5. 1

    À l'aide d'un var_dump vous pouvez voir tout ce que le request a à offrir.

    var_dump($_REQUEST);

    Faire un var_dump sur le server mondiale ainsi. Il contient beaucoup d'information utile.

    var_dump($_SERVER);
    InformationsquelleAutor Peter