Discussion :

[Claythest]

Bonjour,

J'utilise dans mes scripts la variable $_SERVER['HTTP_REFERER'] pour être sûr que l'utilisateur provient bien de la page web que je souhaite avant de lui donner accès à cette partie du site...

Le problème est que pour certains $_SERVER['HTTP_REFERER'] renvoie l'url, pour d'autres, elle renvoie rien

J'aimerai savoir qu'est-ce qui peut bloquer cette variable, ou alors comment m'y prendre autrement pour être sûr que l'utilisateur exécute bien le script depuis une page web précise ?


Merci d'avance pour votre aide

[bkill]

Salut,

$_SERVER['HTTP_REFERER'] peut être affectée par le browser, donc elle peut parfois contenir l'url correcte, parfois ne rien contenir du tout.

Peut-être que pour ton problème tu pourrais te baser sur les sessions, et enregistrer le fait qu'un utilisateur soit passé par une page X pour accéder à une page Y ?

[Claythest]

Non je ne peux pas... Car le script d'origine n'est pas de mon fait, je ne peux pas y toucher... En fait, un site web précis possède un formulaire qui envoie l'utilisateur sur mon site. Et j'aimerai bien savoir si l'utilisateur provient en effet de ce site, et pas d'ailleurs...

Je ne peux malheureusement rien demander au site qui contient le lien vers mon site...

[Swoög]

la variable $_SERVER['HTTP_REFERER'], comme toutes les variables de $_SERVER dont l'indice commence par HTTP_ correspond à une en-tête de la requête HTTP envoyée au serveur pour demander la page (si tu veux plus d'infos là-dessus, renseigne-toi sur le protocole HTTP) elle est donc fournie par le navigateur, et de ce fait, et sujette à caution, je serais toi, je ne l'utiliserais pas pour garantir la sécuriter d'un script... Il va malheureusement te falloir trouver autre chose

[Claythest]

Ok... Je ne savais pas ça en effet...

Mais alors est-ce quelqu'un a une idée pour résoudre ce probleme : comment je peux être sur que l'utilisateur exécute bien ce script depuis une page web précise ?

Y a t il une solution ?

[Swoög]

si tu n'as pas le contrôle sur la page web en question (il y a d'autres conditions), c'est impossible...

[bkill]

et admettons que le site "source" t'amène sur une page chez toi, qui ne fait que de créer une session, et ensuite redirige vers la vraie page de destination? Au moins tu auras déjà une première vérif à faire, à savoir checker si la session a bien été crée sur cette page de redirection...

[Claythest]

et admettons que le site "source" t'amène sur une page chez toi, qui ne fait que de créer une session, et ensuite redirige vers la vraie page de destination? Au moins tu auras déjà une première vérif à faire, à savoir checker si la session a bien été crée sur cette page de redirection...

ben rien n'empeche le "pirate" () de faire un script qui le redirige vers le premier script qui crée la session... Ca n'arrange rien...