Validar $_SERVER['HTTP_REFERER']

SiR.CARAJ0DIDA · #1 (**permalink**) 22/02/2006, 17:24

Yo tengo la siguiente duda, necesito saber si relamente hay una forma de validar el referer ya que tengo entendido que en algunos casos se puede filtrar y puede no existir. El objetivo es que no me manden variables por POST que no vengan de mi dominio, yo hice el siguiente script teniendo en cuenta que el referer puede no existir, pero de este modo no es 100% seguro ya que si yo guardo una pagina html, la modifico y la envío a otra pagina desde la vista previa de mi editor no va a existir un referer pero sin embargo estoy "hackeando" por así decirlo..

este es mi codigo:

Código:

if (strtoupper($_SERVER['REQUEST_METHOD']) == 'POST' AND $_SERVER['HTTP_REFERER'])
{
	$referer_parts = parse_url($_SERVER['HTTP_REFERER']);
	if (strpos($referer_parts['host'], '.midominio.com') === false)
	{
		die('No se permiten variables enviadas por POST  de este dominio!!');
	}
}

Lo logico es que si me llegan variables por POST y NO existe $_SERVER['HTTP_REFERER'] es extraño, o no?

Espero sugerencias..
Saludos

DarioDario · #2 (**permalink**) 22/02/2006, 17:34

$_SERVER['HTTP_REFERER'] Esto no es nada confiable, como vos dijiste muchas veces no aparece (pero no es raro) y sobre todo es que (creo que para FireFox) existe como un modulo que permite enviar cualquier referer, osea yo lo configuro para que el referer siempre sea Google, y no importa si navego por dentro de toda tu web mi navegador siempre va a mandar como referer a Google, se entiende?

Saludos.

jpinedo · #3 (**permalink**) 22/02/2006, 17:35

Cita:

Lo logico es que si me llegan variables por POST y NO existe $_SERVER['HTTP_REFERER'] es extraño, o no?

No entendí la pregunta.

Saludos

SiR.CARAJ0DIDA · #4 (**permalink**) 22/02/2006, 17:47

bueno justamente este problema me surgio por el tema de las famosas extensiones de firefox que te "hackean" toda la pagina por asi decirlo... Yo me baje la "web developer toolbar" que tiene de todo y me sorprendí al ver que se puede modificar casi toda la pagina haciendo un click, como por ejemplo deshabilitar campos de formulario, eliminar maxlength y convertir selects a inputs text. Me parece una estupidez total que dejen hacer eso, ya no se puede confiar en nada que venga del cliente, incluso si la pagina la hiciste vos porque te la cambian toda!!
Bueno y ahora esto del referer ya es lo ultimo... hay q validar todo desde php, el javascript ni sirve para validar ya.

bueno gracias =

ah, me acorde mas, tambien esta la extension urlparams que permite modificar las variables GET y POST y hasta editar el html completo de la pagina

jpinedo · #5 (**permalink**) 22/02/2006, 18:35

Puedes propagar algún valor en variables de sesión para ayudarte con la tarea de identificar si se ha pasado por determinada página de tu sitio.

Cluster · #6 (**permalink**) 23/02/2006, 05:26

Cita:

Iniciado por jpinedo

Puedes propagar algún valor en variables de sesión para ayudarte con la tarea de identificar si se ha pasado por determinada página de tu sitio.

Así es .. si mencionas que el proceso pasa o ha de pasar por otro script de tu misma aplicación (que corre en ese mismo servidor) .. lo mejor es usar sesiones.

Validar un "HTTP_REFERER" no es nada seguro, de hecho nadie te asegura que ese valor lo puedas obtener: algunos firewalls, antivirus, navegadores, proxys y ciertas formas de trabajar con tus páginas (abriendo ventanas .. etc) no entregan esa información de la "página referida". Y tampoco te asegura que ese dato no esté "adulterado" .. por qué como es un dato que se genera en la petición HTTP (por cabeceras) .. se puede fácilmente reportar ese dato como otro (cambiado). En definitiva no es un dato para confiar en el.

Un saludo,