PHP初級です。
外部の別ホストからのPOST送信を禁止したいのですが、例えば.htaccessで制限することは可能でしょうか?
やりたいことは以下の質問と同じです。
http://q.hatena.ne.jp/1154620823
自ホストが .aaa.com として、
.aaa.com/soushin.php //POST送信
.aaa.com/jusin.php //POST受信
これは許可。
.bbb.com(.aaa.com以外)/soushin.php //POST送信
.aaa.com/jusin.php //POST受信
これをシャットアウトしたいのです。
.htasseccでいろいろと試してみましたが、POST出来てしまうか、サイトそのものへアクセス不可になってしまうかで
思ったように動作しません。
<Limit GET POST>
order deny,allow
deny from all
allow from .aaa.com
</Limit>
記述内容が悪いのか、もともと無理なのかがわかりません。
お手数ですが、ご教授いただけないでしょうか?
宜しくお願いいたします。
No.4
- 回答日時:
素晴らしい質問です、勉強になりました。
世の中での成り済ましってそうやって行われるわけですね・・・いやぁ~恐ろしいです。でも確かに!HTMLソースコード丸見えだと私でも成り済ましが出来てしまいそう・・・怖いなぁ。どっちにしても、この場合は、クライアント認証と言ってIPアドレスを伴って認証をクライアントにしてもらう時にサーバー認証をするか、サーバー認証を伴ってクライアントに送信されてるかのどちらかにしないとダメっぽいですよね。となると、画面が変わるたんびにクライアント認証をチェックしたらサーバーが表示するか?サーバー認証をいちいちパスワードを求めてするか?どちらかしか、結局ないのでは?
クライアント認証はクライアントがパスワードを入力した直後にこのIPがパスワードを入れたIPとしてサーバーがいちいちクライアントを認証するしくみなのでクライアントは楽ですよね。
でもサーバー認証は、毎回サーバーが認証をクライアントに求めてから認証するのでしょうか?やっぱり、いくら小細工しても抜け道がありそうなので、暗号化した方が良いと世間は言うのだなと、初めて納得した思いです!!!わざわざ高いお金で暗号化する機能をくぐらせて通信することに何の意味が!セッション管理でいいのでは?と思っていたけど・・・甘いんですね、こんな成り済ましされたら一ころ。
この回答への補足
こんにちはnoname#93451さん。
最近この事を知ったのですが、青くなりました。
私自身、勉強不足というより全くわかっていなかったと痛感しました。
No.3
- 回答日時:
POSTメソッドを叩いて該当URLに対してリクエストを行うのはブラウザが行うものですから、ブラウザから該当URLに対してPOSTメソッドで某かのデータを送信してくるのであれば、通常、別ドメインに自サイトのフォームのコピーのようなものを作成され、通信されるのは制限できないと思います。
制限するとしたら、yambejpさんの仰るように$_SERVER変数に含まれるリファラ情報を見て制限するというところになりますが、ブラウザがリファラを通知してこなかった場合、全てはじいてしまいます。
そうなると、質問者さんが参照されたURL(はてなアンテナ)にて、ベストアンサーとなっているスクリプトのような、ワンタイムチケット(ワンタイムトークン)を発行する方法が良いのではないでしょうか。
http://www.jumperz.net/texts/csrf.htm
こちらにCSRFの詳しい対策方法などが記載されております。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- PHP PHP MySql 画像を取得 1 2022/06/04 14:05
- JavaScript ①入力フォーム→②確認表示画面→③送信完了画面のコードを書いているのです、 入力フォームから受け取っ 2 2022/05/10 16:45
- HTML・CSS GETをPOSTに変更したところ 送信 不能です。 1 2022/04/10 17:31
- Gmail SPFレコードとDNSサーバーについて、gmailを設定できるかどうか 2 2023/06/10 23:55
- その他(IT・Webサービス) 301リダイレクトの使い方について 7 2022/04/05 17:50
- Excel(エクセル) ¥マークを含むパスの処理について(マクロ、または関数) 2 2022/12/25 02:11
- PHP どうして送信されないのでしょうか? 1 2022/12/09 05:23
- WordPress(ワードプレス) ワードプレスのパーマリンク設定について 1 2023/02/11 19:08
- PHP $_SESSIONに渡した後はそのまま使っても問題ありませんか? 3 2022/11/08 22:17
- PostgreSQL 画像とカテゴリーを出力したいのですが、取得の条件を付ける方法がわかりません。 2 2022/05/01 18:03
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
PHP8を使うと、大量のWarningが...
-
これの対応OSを教えて下さい。p...
-
PHP MySql ページング
-
PHPとHTML+Xamppの掲示板で画像...
-
php 入力画面から確認表示画面...
-
ワードプレスプラグイン MW WP ...
-
csvファイルについて教えて下さ...
-
SFTPなどは使わないホームペー...
-
$_SESSIONについて教えて下さい。
-
$_SESSIONについて教えて下さい。
-
フォームで戻った際に入力済み...
-
グローバルスコープはありますか?
-
書籍よりも より良い htmlspeci...
-
なんでブラウザでPHPを動かすた...
-
phpでcookieがうまく保存されない
-
ワードプレスサイト PHP8.0.25...
-
PHPSpreadsheetを使って関数を...
-
PostgreSQLからCSV形式でエクス...
-
PHPで画像の渡しが上手く行きま...
-
PHP MySql 画像を取得
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ApacheのBasic認証のログの取り方
-
SQLConfigDataSourceについて。
-
外部の別ホストからのPOST送信...
-
HTTPのBasic認証に自動ログイン...
-
Basic認証のパスワードをユーザ...
-
Excel VBA で Webからデータを...
-
javaでldap認証の勉強をするに...
-
jQueryのFullCalendarについて...
-
パスワード認証後にリンク先を...
-
SMTPの認証を得るには
-
Tomcatの基本認証が8080ポート...
-
ASP Response.Write("401 Unaut...
-
年齢認証ページの作成を依頼さ...
-
携帯PCのアクセス制限。PHP初心...
-
ソフトウェアのWEB認証(アクテ...
-
BASIC認証の画面すら出し...
-
PHPの$_SERVER["REQUEST_URL"]...
-
Linuxからファイルのコピー
-
JANコードを検索出来るサイト
-
google.co.jpはホスト名ですか?
おすすめ情報