リファラーは容易に偽装されるそうですが、対策はないのでしょうか？

Question

730

80pt

PHPでシステムを組んでいて、疑問を持ちました。

一番うれしい解決は、「正式なリファラー」を取得することです。

回答の条件

※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

karasimiso 2006/12/04 11:19:08

リファラ内容が指すページを解析して自サイトへとリンクがあるかどうかで判定すれば、多少は正式かどうか判別できませんかね、、、(やっぱ無理？)

リファラにデジタル署名でもつけられれば話は別ですけど。
b-wind 2006/12/04 11:24:34

> リファラ内容が指すページを解析して
無理じゃないけど無意味。
たとえば全クライアントが固定値でそのリファラーを送ってきた場合を考えてみてください。

> リファラにデジタル署名でもつけられれば話は別ですけど。
デジタル署名を付けるのはあくまでクライアントなんで、詐称したものにデジタル署名が付くだけ。
通信中の改ざん防止なら HTTPS で十分。
u1ρ 2006/12/04 13:45:01

それ以前に「そんなにRefererを偽装してまで見に来られるようなページなのか」と言う疑問があります。
クイズなどのヒントページなどをちゃんと読んでから辿って欲しいなど、「Refererが正しくないと困るようなページなら他の手段を考えるべき」とも思います。
bsheep 2006/12/04 19:40:45

正しいリファラを何に使いたいかを突き詰めれば何をすればいいかが見えてくると思います。
基本的にリファラは自己申告のものであると考えなければなりませんね。

人力検索はてなリファラーは容易に偽装されるそうですが、.. 2006-12-04 02:18:17
リファラの偽装を見破る方法。人力検索はてなピックアップ質問集 2006-12-04 14:19:46

リファラーは容易に偽装されるそうですが、対策はないのでしょうか？ PHPでシステムを組んでいて、疑問を持ちました。一番うれしい解決は、「正式なリファラー」を取得することで
morioXのもくもく日記 2006-12-06 03:17:24
人力検索はてなアクセスログの仕組みは？アクセスログに.. 2007-01-23 14:49:16

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません

sadajo · Answer 1 · 2006-12-03T21:22:22+09:00

リファラースパム対策

b-wind · Answer 2 · 2006-12-03T22:47:26+09:00

リファラーはブラウザから送信されるデータなのでそれ単体で正確性を保証することは不可能です。

リファラーが保証されるのは、企業内のクライアント等で設定がいじれないようになっているか自作のソフトウェアのみで通信を許可する場合などのみです。

ardarim · Answer 3 · 2006-12-04T01:37:16+09:00

HTTPで通信をする場合、サーバ側(この場合php)とクライアント側(ブラウザなど)が通信を行うことになります。サーバ側が取得できる情報は、クライアントが送ってくるものだけです。サーバ側はクライアントの送ってくる情報を信じるしかありません。

「正式なリファラー」とは、偽装されない、ユーザがブラウザ上で実際に飛んできたページを取得したいという意味だと思いますが、

上記の通り、HTTP通信にはサーバとクライアントしかいませんので、クライアント側がリファラーを偽っている場合は、どうしようもありません。（サーバとクライアントの間にはプロキシーなどが挟まることがありますが、「本当の」リファラーを知りうるのはクライアントのみであるという点では同じです）

ただし、自分が管理しているドメイン内であれば、セッションIDを使うなどすればページの遷移は管理できる可能性があります。ただし、他者が管理しているドメインから飛んできた場合などは、リファラーしか信頼できるものがありませんのでどうしようもありません。

URLはダミー。

回答（3件）