Allora... Vorrei essere sicuro che i form (POST), che inviano dati al mio "sistema", provengano SEMPRE dallo stesso HOST/DOMINIO, dove si trova appunto il sistema PHP.

Al momento ho visto che tutti fanno un "check" sulla variabile $_SERVER['HTTP_REFERER'].

Molti dicono di usare una specie di "token" salvato in sessione e "embeddato" come input-hidden, da controllare prima di ogni operazione..

Questo l'ho già fatto, ma l'unica cosa utile è che non permette di eseguire operazioni "continue" tipo "bot". MA.. non offre una reale protezione (secondo me) ...

Questo perchè l'utente "maligno" non deve far altro che copiarsi il campo Hidden contenente il "token" di controllo e incollarlo nel suo form modificato "ad hoc", e quindi spedirlo assegnando l'url del sistema online all'attributo "action" del form... ed è fatta! :P


Domande:


  1. La variabile 'HTTP_REFERER' è inviata da tutti i browser?? Ed è considerata abbastanza affidabile/sicura??
  2. Esiste un metodo alternativo??


Thanks!