我很好奇使用全局$_server['http_referer']拒绝访问权限与使用 .htaccess 和deny from all/allow from ip
是否可以以相同的方式绕过,或者 .htaccess 是一种基于引用来停止访问的安全方式?
亲切的问候,
答案 0 :(得分:2)
$_SERVER['HTTP_REFERER']很容易被欺骗,所以取决于任何非平凡的事情并不是一个好主意。
将{htaccess与deny from all/allow from ip一起使用会更好,因为它会限制对您指定的IP列表的访问。但如果您允许整个块访问您的站点,则会开始失败。然后,使用代理可以轻松地解决这个问题。
因此,两者都不是将某人排除在您网站之外的完美解决方案。
<强>更新
根据您的评论,您应该考虑一种只有引荐网站且您知道的身份验证方法。基本上他们应该传递一个哈希值,该哈希值是根据每个请求更改的秘密值创建的。这样他们就不会被欺骗,你可以肯定地确认请求是合法的。