Discussion :

[moimp]

Bonjour à tous,

A la lecture des réserves émises dans la doc php sur la variable $_SERVER, j'aimerais savoir quel est dans la pratique le degré de fiabilité de cette variable. J'ai fait des essais sur Edge, Chrome, Firefox et je n'ai jamais trouvé de cas ou 'HTTP_REFERER' ne fonctionne pas.
Peut-on raisonnablement utiliser la variable $_SERVER['HTTP_REFERER'] ou faut-il prévoir une alternative de secours?

[CosmoKnacki]

A la lecture des réserves émises dans la doc php sur la variable $_SERVER, j'aimerais savoir quel est dans la pratique le degré de fiabilité de cette variable.

Le degré de fiabilité est nul.

J'ai fait des essais sur Edge, Chrome, Firefox et je n'ai jamais trouvé de cas ou 'HTTP_REFERER' ne fonctionne pas.

Certes, mais une simple ligne de commande (avec wget ou cURL) permet de tromper le serveur sur le referer. D'autre part un navigateur peut aussi ne pas fournir cette information ou être équipé d'un plugin pour la falsifier. C'est exactement la même problèmatique que pour le user agent.

Peut-on raisonnablement utiliser la variable $_SERVER['HTTP_REFERER'] ou faut-il prévoir une alternative de secours?

Donc non, on ne peut pas raisonnablement ou pas se fier à cette information. La parade consiste à utiliser un token (jeton) qui permet de tracer la provenance de l'utilisateur.

[cavo789]

Bonjour

Certes, mais une simple ligne de commande (avec wget ou cURL) permet de tromper le serveur sur le referer. D'autre part un navigateur peut aussi ne pas fournir cette information ou être équipé d'un plugin pour la falsifier. C'est exactement la même problèmatique que pour le user agent.

Parfaitement juste. Je voudrais juste apporter une nuance : tout dépends de ce que tu veux en faire.

Si HTTP_REFERER est vide, on peut présumer que l'utilisateur est venu en accès direct (il a utilisé un favoris / taper l'URL / cliquer sur l'URL depuis p.ex. son mail / ...)
Si non vide, on peut supposer qu'il vient d'une autre page.

Si tu souhaites utiliser HTTP_REFERER pour un usage "facultatif" (p.ex. juste écrire dans un log); bah, pourquoi pas. Il faudrait voir au cas par cas avec, toujours, l'idée que c'est purement informatif et non fiable.

[Séb.]

Comme Kosmo et Cavo, aucune fiabilité, le client pouvant envoyer ce qu'il veut.

D'ailleurs certains s'en servent même à des fins publicitaires pour apparaître dans les logs et déborder sur le net...

GET /ta-page.php HTTP/1.0
Host: ton-serveur.net
Referer: www.venez-acheter-chez-moi.com

Donc tu peux l'utiliser pour avoir des infos, mais tu seras forcément exposé à des bizarreries, et il ne faut surtout pas l'utiliser pour la sécurité.

[moimp]

Le degré de fiabilité est nul.
Donc non, on ne peut pas raisonnablement ou pas se fier à cette information. La parade consiste à utiliser un token (jeton) qui permet de tracer la provenance de l'utilisateur.

Je ne suis pas sûr de bien comprendre ce que représente ce jeton. Ce que je cherche à faire est connaître les pages de mon site visitées par l'utilisateur pour le ramener lorsque nécessaire sur ces pages, par exemple après envoi d'un formulaire ou pour naviguer dans un formulaire multipage. Je peux donc positionner une variable de session et y enregistrer la dernière page visitée si c'est ce que tu entends par jeton.

[laurentSc]

Bonjour,
je suis loin d'avoir les connaissances de Cosmo, Cavo ou .Séb, mais je pense que la technique d'utiliser une variable de session correspond à la notion de jeton (il m'est arrivé d'utiliser cette technique pour servir de "mouchard" (les echo ne fonctionnant pas dans certains cas, c'est le seul moyen de savoir si on passe dans telle ou telle page)).

[cavo789]

Tiens une idée probablement incorrecte (je ne suis pas développeur javascript), est-ce que la notion de localStorage (https://blog.logrocket.com/localstor...omplete-guide/) ne pourrait pas être utilisée ?

Tu ne pollues en rien ton serveur avec des variables de session ou n'importe quoi d'autres et tu te fies au client pour gérer cela comme un grand.

(zéro expérience, c'est juste pour évoquer une piste potentielle)