PHP初級です。
外部の別ホストからのPOST送信を禁止したいのですが、例えば.htaccessで制限することは可能でしょうか?
やりたいことは以下の質問と同じです。
http://q.hatena.ne.jp/1154620823
自ホストが .aaa.com として、
.aaa.com/soushin.php //POST送信
.aaa.com/jusin.php //POST受信
これは許可。
.bbb.com(.aaa.com以外)/soushin.php //POST送信
.aaa.com/jusin.php //POST受信
これをシャットアウトしたいのです。
.htasseccでいろいろと試してみましたが、POST出来てしまうか、サイトそのものへアクセス不可になってしまうかで
思ったように動作しません。
<Limit GET POST>
order deny,allow
deny from all
allow from .aaa.com
</Limit>
記述内容が悪いのか、もともと無理なのかがわかりません。
お手数ですが、ご教授いただけないでしょうか?
宜しくお願いいたします。
No.4
- 回答日時:
素晴らしい質問です、勉強になりました。
世の中での成り済ましってそうやって行われるわけですね・・・いやぁ~恐ろしいです。でも確かに!HTMLソースコード丸見えだと私でも成り済ましが出来てしまいそう・・・怖いなぁ。どっちにしても、この場合は、クライアント認証と言ってIPアドレスを伴って認証をクライアントにしてもらう時にサーバー認証をするか、サーバー認証を伴ってクライアントに送信されてるかのどちらかにしないとダメっぽいですよね。となると、画面が変わるたんびにクライアント認証をチェックしたらサーバーが表示するか?サーバー認証をいちいちパスワードを求めてするか?どちらかしか、結局ないのでは?
クライアント認証はクライアントがパスワードを入力した直後にこのIPがパスワードを入れたIPとしてサーバーがいちいちクライアントを認証するしくみなのでクライアントは楽ですよね。
でもサーバー認証は、毎回サーバーが認証をクライアントに求めてから認証するのでしょうか?やっぱり、いくら小細工しても抜け道がありそうなので、暗号化した方が良いと世間は言うのだなと、初めて納得した思いです!!!わざわざ高いお金で暗号化する機能をくぐらせて通信することに何の意味が!セッション管理でいいのでは?と思っていたけど・・・甘いんですね、こんな成り済ましされたら一ころ。
この回答への補足
こんにちはnoname#93451さん。
最近この事を知ったのですが、青くなりました。
私自身、勉強不足というより全くわかっていなかったと痛感しました。
No.3
- 回答日時:
POSTメソッドを叩いて該当URLに対してリクエストを行うのはブラウザが行うものですから、ブラウザから該当URLに対してPOSTメソッドで某かのデータを送信してくるのであれば、通常、別ドメインに自サイトのフォームのコピーのようなものを作成され、通信されるのは制限できないと思います。
制限するとしたら、yambejpさんの仰るように$_SERVER変数に含まれるリファラ情報を見て制限するというところになりますが、ブラウザがリファラを通知してこなかった場合、全てはじいてしまいます。
そうなると、質問者さんが参照されたURL(はてなアンテナ)にて、ベストアンサーとなっているスクリプトのような、ワンタイムチケット(ワンタイムトークン)を発行する方法が良いのではないでしょうか。
http://www.jumperz.net/texts/csrf.htm
こちらにCSRFの詳しい対策方法などが記載されております。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・人生のプチ美学を教えてください!!
- ・10秒目をつむったら…
- ・あなたの習慣について教えてください!!
- ・牛、豚、鶏、どれか一つ食べられなくなるとしたら?
- ・【大喜利】【投稿~9/18】 おとぎ話『桃太郎』の知られざるエピソード
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
アップロードファイルを表示す...
-
PHPで画像の渡しが上手く行きま...
-
php エラー
-
PHP 「あいまい検索」を行う関...
-
PHP MySQLに画像を直接保存
-
PHPのセッション有効期限について
-
PHPのエラーの解消法について教...
-
preg_matchで Warning: Undefin...
-
PHPで新規でファイル作成するや...
-
複数のパソコンの中の1つのパソ...
-
返信機能のツリー構造の深さを...
-
PHPについて。
-
phpのheader("Location:#pos")...
-
PHPからCSVをアップロード後、m...
-
[php初心者]サイトを見てデータ...
-
phpに関わる所での、form actio...
-
ゆゆにゃ。
-
【初心者】XAMPPのapacheの(恐...
-
プログラミング言語で、使える...
-
こちらはただの直列処理ですか?
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ApacheのBasic認証のログの取り方
-
Basic認証のパスワードをユーザ...
-
外部の別ホストからのPOST送信...
-
LinuxOSのユーザ・パスワードを...
-
SQLConfigDataSourceについて。
-
Tomcatの基本認証が8080ポート...
-
IIS,Tomcat,Oracleの共存
-
HTTPのBasic認証に自動ログイン...
-
phpのパスワード認証
-
ユーザー認証についての質問
-
フォーム認証について
-
web.configでフォーム認証でき...
-
Basic認証のログオフはやはり無...
-
ホームページ作成サイトで企業...
-
jQueryのFullCalendarについて...
-
エクセルで備品管理
-
OAuthでTwitterにツイートしたい
-
PHP 会員管理・限定ページ・メ...
-
Excel VBA で Webからデータを...
-
ユーザー認証について
おすすめ情報