How to correctly identify requests from any site?

R

ruboss2016-06-11 20:59:44

PHP

ruboss, 2016-06-11 20:59:44

Hello!
There is a script that takes the site ID as a parameter and sends requests to the server.

var ID = 123; //id сайта в системе
   startSess(ID);

The script can be on any site that is registered in the system and has its own unique ID (1 id per 1 domain).

site_name    id
mysite.com  1
mysite2.ru   123

How to make sure that these requests are really sent from the domain of the corresponding ID ?
There is an option to take the HTTP_REFERER parameter on the server, but it can be easily faked ...
Bottom line: if the ID that came from the site matches the site_name from which the request came from, then the check is passed
Which way to dig?)

Reply

Answer the question

In order to leave comments, you need to log in

3 answer(s)

A

Anatoly, 2016-06-11
@taliban

Никак, все можно подменить, разве что у вас будет соответствие сайт = айпи. По айпи можно идентифицировать, но они могут быть разные у одного сайта.

R

Rou1997, 2016-06-11
@Rou1997

Невозможно, запросы можно отправлять вообще не "с сайта" (вернее, из браузера), а просто из программы, тогда пакет (запрос) может вообще ничем отличаться, можно лишь усложнить скрипт, обфусцировать, применить Flash и т.д., либо просто использовать API-токены вместо id сайтов.

�

Алексей, 2016-06-11
@alsopub

Если у вас что-то типа Гугл Аналитики или Яндекс Метрики (script, встраиваемый в страницу), то предлагаю следить за HTTP_REFERER + REMOTE_ADDR и фиксировать обращения с левых доменов. Если код будет установлен на неверном домене - вы достаточно быстро соберете об этом статистику и сможете заблокировать или предупредить владельца или заблокировать домен по рефереру.
Не известно для чего предназначены ваши скрипты, если там что-то посерьезнее аналитики - то надо думать.