问题描述
我正在研究一个项目,该项目可以从文本(TTS)生成音频,并为播放器提供对用户的速度/音调控制。
我的问题与请求安全性有关。
用户在我的网站上注册时获得了widget_id,他在网站上放置了js,并且api在他的网站上正常工作。当用户单击“发送”按钮时,api.js文件还将ajax数据也发送到我的站点POST widget_id个请求。然后在我这一边,我得到了widget_id和引荐来源网址:
$referer = isset($_SERVER["HTTP_REFERER"]) ? $_SERVER["HTTP_REFERER"] : '';
我正在从数据库中获取与widget_id相关的网站价值,并将其与$referer进行比较。
...
if($website_url == $referer) {
$website_checked = true;
}
...
所以我的问题是:攻击者可以使用某些lib(也许是Curl)更改$_SERVER["HTTP_REFERER"]值并破坏我的安全性吗?
例如,如果他使用curl和代码:
curl_setopt($ch,CURLOPT_REFERER,'https://anysite.io/');
谢谢。
因此,我更新了问题原因,因为我一直认为这是不可信任的。因此,请使用专用身份验证算法的基本步骤...
Update3:因此,我开始了赏金计划,因为在我的场景中,我需要了解私有身份验证的算法。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)