PHP中通过$_SERVER['HTTP_REFERER']读取Referer头,但该值非必传、易为空或被伪造,不可用于权限控制;应配合session token、隐藏字段、CSRF防护等多重机制校验来源。
PHP中怎么读取HTTP Referer头
Referer是HTTP请求头字段,用于标识当前请求是从哪个页面跳转过来的。PHP里通过$_SERVER['HTTP_REFERER']获取,但它不是必传字段——用户手动输入URL、书签访问、HTTPS跳转到HTTP等场景下该值为空或被浏览器主动剥离。
实操建议:
-
$_SERVER['HTTP_REFERER']必须做空值判断,不能直接用,否则可能触发Notice错误或逻辑断裂 - 不要用它做权限控制或安全校验(比如“只允许从A页提交”),因为Referer极易被伪造或缺失
- 若需验证来源,应配合token机制(如
session_start()后生成一次性$_SESSION['form_token'])
为什么$_SERVER['HTTP_REFERER']经常为空
这不是PHP的问题,而是HTTP协议和浏览器行为决定的。常见空值原因包括:
- 用户在地址栏直接输入URL后回车
- 从HTTPS页面跳转到HTTP表单页(现代浏览器会主动清空Referer)
- 点击邮件客户端、桌面应用、微信内置浏览器中的链接(部分环境不发送Referer)
- 用户启用了隐私模式或安装了屏蔽Referer的插件(如Privacy Badger)
所以,依赖$_SERVER['HTTP_REFERER']做关键业务逻辑(如防止跨站提交)是不可靠的。
立即学习“PHP免费学习笔记(深入)”;
比Referer更靠谱的表单来源识别方式
真正可控、可验证的来源标识,得由服务端自己埋点生成:
- 在表单页面生成隐藏字段:
- 用session标记入口:
$_SESSION['entry_point'] = 'product_list';,提交时比对 - 结合CSRF token + 来源标识组合验证,例如:
hash_hmac('sha256', 'login_page', $_SESSION['csrf_key']) -
前端JavaScript采集
document.referrer并写入隐藏域(注意:仍可被篡改,仅作辅助)
这些方式都比单纯读$_SERVER['HTTP_REFERER']稳定得多,尤其在混合协议、多端嵌套(如小程序WebView)场景下。
Referer校验的典型误用与修复示例
常见错误写法:
if ($_SERVER['HTTP_REFERER'] !== 'https://example.com/login.php') {
die('非法来源');
}
问题在于:字符串严格相等既脆弱又不安全。正确做法应是宽松匹配+多重保障:
- 用
parse_url()提取host,再白名单比对:in_array($host, ['example.com', 'www.example.com']) - 加上时间戳或签名字段,防止重放(如
source=login&t=1712345678&s=abc123) - 始终保留fallback逻辑,比如Referer为空时,检查是否有合法
source字段或session标记
Referer只能作为日志溯源或统计用途的辅助线索,别让它承担安全边界职责——这点最容易被忽略,也最常引发线上问题。
