Определить входящий URL/HTTP_REFERER без подделки
Краткое объяснение:
Пользователь получает ссылку на вставку iframe (например: <iframe src="https://www.platform.com/HASH">)
Используя HASH из URL-адреса, определите пользователя, проверьте, исходит ли запрос из одного из доменов пользователя, и увеличьте просмотр.
Логика подсчета просмотров: если покупатель (клиент пользователя, а не мой) вызывает страницу пользователя, то увеличьте количество просмотров, и покупатель того же пользователя сможет вызывать страницу столько раз, сколько он хочет в течение следующих 30 минут, без увеличения количества просмотров.
Любой совет, как 1. и 2. могут быть реализованы. Спасибо за вашу поддержку.
Боюсь, так работает SO. Вы должны показать нам свои усилия, и мы постараемся помочь вам. Пожалуйста, взгляните на ссылки в моем комментарии для получения дополнительной информации.
Боюсь, то, о чем вы просите, невозможно. Пользовательские агенты и заголовок Реферер HTTP всегда могут быть подделаны клиентом. С точки зрения сервера вы не можете проверить правильность этих значений и должны принять их за чистую монету. Поэтому, если вам нужно быть абсолютно уверенным, вам нужно использовать что-то вроде ОАут 2.0...
Похоже, проблема здесь в том, что вы вознаграждаете просмотры (которые довольно бесполезны и легко подделывается даже без ботов), а не конверсии.
@Quentin не вознаграждает, взимает плату с клиента за просмотр.
Ответы 1
Я бы предложил предложить API вашим клиентам и использовать Паспорт (OAUTH2) для аутентификации, потому что HTTP_REFERER можно изменить, и ничто не мешает мне взять токен у одного из ваших клиентов.
Спасибо за ваш вклад, я уже думал об использовании OAUTH2, но проблема в том, что мы хотим максимально упростить его для наших покупателей моделей, чтобы они могли встраивать его куда угодно (WP/Static HTML/PHP/JS), не беспокоясь об API и все это. Isnt there any other way, other thanHTTP_REFERER` для 100% определения входящего URL-адреса запроса без подделки. Спасибо :) HTTP_REFERER
Я так не думаю. Вам нужно будет решить, стоит ли отдавать предпочтение простоте над безопасностью. Например, Google Maps, кажется, отдает приоритет простоте своих ключей API, как обсуждалось здесь, которые, скорее всего, реализованы аналогично тому, что вы хотите сделать. Для них имеет смысл просто принять риск, потому что данные не настолько конфиденциальны. Я бы сказал, что делать запрос GET не так уж и много, чтобы требовать от клиентов. Просто предоставьте хорошую документацию.
Я просто хочу реализовать ту же логику, что и gmaps. Например, даже код встраивания gmaps с действительным токеном не работает, если запрос не поступает из правильного домена.
Как говорится в треде, на который я ссылался, он все еще уязвим для спуфинга, но если вы считаете, что это имеет смысл в вашем случае, сделайте это. Если вам нужна реальная безопасность, реализуйте OAUTH2.
@Dave Дэйв, я не прошу тебя писать для меня код, я просто вежливо спрашиваю, какие есть возможности для реализации вышеупомянутого сценария, не более того.