※ 引述《red0whale (red whale)》之铭言:
: 如题,
: 我知道能用HTTP_REFERER来判断上一页表单是否为从本站发送的
: 但其实这样并不是最好的
: 因为使用者一样能用cURL来提交一个假的HTTP_REFERER来骗过PHP
: 所以有没有一个最好的方法来判断表单是否为从本站发送的?
如果你追求的是“完全的要求表单由本站发送”,这种东西本质上是不可能的。
因为 HTTP 本身是 stateless,资讯是在“主机”和“浏览器端”互相来回传递,
每一个 request / response 都只是“包含了资讯的单向传递”。
你什么时后有了“表单是从本站发送”的幻觉? XD
表单永远都是从你的 borwser 送出的,那是你的电脑 / 浏览器,
和哪个网站一点关系都没有。