http_referer потерял использование https
Лучший способ, если Вы работаете как корень, состоит в том, чтобы бросить файл в/etc/cron.d
при использовании диспетчера пакетов для упаковки программного обеспечения, можно просто установить файлы в том каталоге, и они интерпретируются, как будто они были crontabs, но с дополнительным полем для имени пользователя, например:
Имя файла: /etc/cron.d/per_minute
Содержание: * * * * * root /bin/sh /home/root/script.sh
3 ответа
Независимо от того, разрешают ли RFC отправку http_referer или нет, вы обнаружите, что много веб-клиенты и / или прокси-серверы или другие связанные с конфиденциальностью шлюзы между ним и сервером будут удалять или подделывать http_referer в заголовке, делая большую часть схемы «аутентификации» на основе http_referer в лучшем случае частично работоспособной.
Если у вас есть какое-то сотрудничество с хранителем первого https-сервера вы можете договориться о передаче хэш-кода на основе time + something_else в запросах к вашему серверу. Проверив хэш-код на своей стороне, вы узнаете, что ваш https-посетитель пришел с другого сервера [совсем недавно].
Я обнаружу, что многие веб-клиенты и / или прокси-серверы или другие шлюзы, связанные с конфиденциальностью, между ним и сервером удаляют или подделывают http_referer в заголовке, делая большую часть схемы «аутентификации» на основе http_referer в лучшем случае частично работоспособной.Если у вас есть какое-то сотрудничество с хранителем первого https-сервера, вы можете договориться о передаче хэш-кода на основе time + something_else в запросах к вашему серверу. Проверив хэш-код на своей стороне, вы узнаете, что ваш https-посетитель пришел с другого сервера [совсем недавно].
Я обнаружу, что многие веб-клиенты и / или прокси-серверы или другие связанные с конфиденциальностью шлюзы между ним и сервером удаляют или подделывают http_referer в заголовке, в лучшем случае делая большую часть схемы «аутентификации» на основе http_referer частично работоспособной.Если у вас есть какое-то сотрудничество с хранителем первого https-сервера, вы можете договориться о передаче хэш-кода на основе time + something_else в запросах к вашему серверу. Проверив хэш-код на своей стороне, вы узнаете, что ваш https-посетитель пришел с другого сервера [совсем недавно].
Если вы сотрудничаете с хранителем первого https-сервера, вы можете договориться о передаче хэш-кода на основе time + something_else в запросах к вашему серверу. Проверив хэш-код на своей стороне, вы узнаете, что ваш https-посетитель пришел с другого сервера [совсем недавно].
Если вы сотрудничаете с хранителем первого https-сервера, вы можете договориться о передаче хэш-кода на основе time + something_else в запросах к вашему серверу. Проверив хэш-код на своей стороне, вы узнаете, что ваш https-посетитель пришел с другого сервера [совсем недавно].
Если у вас нет контроля над ссылающимся сайтом, вам не повезло.
Понюхайте реферер, если можете, и, если он отсутствует, откройте целевую страницу с надписью " щелкните здесь, перейдите на сайт A, чтобы вы могли вернуться сюда ».
Кроме того, потратьте некоторое время на разработку более надежного метода доступа к вашему« безопасному »сайту.
Доработка ответа mjv: вы должны поместить HMAC ( RFC 2104 ) в URL-адрес. Имейте общий секрет между двумя серверами, и пусть исходный сервер генерирует ссылки в форме / отметка времени / hmac / путь. Hmac следует проверять по hmac (ключ, временная метка + путь), чтобы разные изображения генерировали разные hmac. Затем целевой сервер может решить, достаточно ли моложе временной метки для перенаправления.
Вы можете дополнительно ограничить это, поместив IP-адрес клиента в hmac, требуя, чтобы тот же клиент, который получил URL-адрес, также разрешал его. Однако это может быть подвержено ошибкам при наличии HTTP-прокси, которые обрабатывают только http, а не https, или наоборот.