不可靠的Referer校验应被一次性上传Token替代:服务端生成绑定用户ID与过期时间的签名Token,前端限时提交并经统一入口验证;同时用finfo_file校验真实MIME类型,配合Nginx路径限制与密钥隔离。
用 $_SERVER['HTTP_REFERER'] 做来源判断不可靠
很多人第一反应是读取 $_SERVER['HTTP_REFERER'],但这个值由浏览器提供,可被任意伪造或清空(比如从书签打开、HTTPS 页面跳转到 HTTP、隐私模式等)。实际生产中,它只适合做辅助日志记录,**不能作为安全校验依据**。
- 用户禁用 Referer 时该字段为空字符串
- cURL、Postman 或恶意脚本上传完全绕过此检查
- 同站跨协议(https → http)可能被浏览器主动剥离
真正有效的方案:服务端生成一次性上传 Token
核心思路是把「允许上传」的权限从客户端请求头转移到服务端可控的凭证上。前端在提交视频前,必须先向后端申请一个带签名、有时效的 $upload_token,再把它作为隐藏字段或请求头传给上传接口。
function generateUploadToken($user_id, $expire = 300) {
$timestamp = time();
$expire_at = $timestamp + $expire;
$payload = "$user_id|$expire_at";
$signature = hash_hmac('sha256', $payload, $_ENV['UPLOAD_SECRET_KEY']);
return base64_encode("$payload|$signature");
}
// 验证时解码并检查
function verifyUploadToken($token) {
$decoded = base64_decode($token);
if (!$decoded || !preg_match('/^(\d+)\|(\d+)\|([a-f0-9]{64})$/', $decoded, $m)) {
return false;
}
[$user_id, $expire_at, $sig] = [$m[1], $m[2], $m[3]];
if (time() > $expire_at) return false;
$expected = hash_hmac('sha256', "$user_id|$expire_at", $_ENV['UPLOAD_SECRET_KEY']);
return hash_equals($expected, $sig);
}
- Token 必须绑定用户 ID 和过期时间,防止重放
- 使用
hash_equals()防止时序攻击 - 前端获取 Token 后,需在 5 分钟内完成上传,超时则拒绝
配合 Nginx / Apache 限制上传入口路径
即使有 Token,也要限制上传行为只能走指定接口,避免攻击者绕过 PHP 层直接 POST 到 /uploads/ 目录。
- Nginx 中禁止对
/uploads/目录的直接 PUT/POST 请求 - 所有上传必须经由
/api/upload-video.php统一入口 - 该入口文件开头就调用
verifyUploadToken($_POST['token'] ?? '') - 上传成功后立即删除 Token(或用 Redis 设置一次有效)
额外加固:检查 finfo_file() 真实 MIME 类型
来源校验只是第一步,上传文件本身是否真为视频也得验证。仅靠 $_FILES['video']['type'] 毫无意义——它来自浏览器,同样可伪造。
立即学习“PHP免费学习笔记(深入)”;
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mimeType = finfo_file($finfo, $_FILES['video']['tmp_name']);
finfo_close($finfo);
if (!in_array($mimeType, ['video/mp4', 'video/webm', 'video/quicktime'], true)) {
die('Invalid video MIME type');
}
- 必须用
finfo_file()读取二进制头信息,不是扩展名也不是$_FILES['type'] - MP4 文件常见真实类型是
video/mp4,但某些编码可能返回application/octet-stream,需结合扩展名+内容检测 - 如果业务允许,建议转码后再保存,天然过滤伪视频文件
UPLOAD_SECRET_KEY —— 它只存在于 PHP 的 .env 或配置文件中。 
