Empêcher l'ouverture d'une page web

**Sancha** · 29/04/2012, 18h09

Bonjour,
Je suis en train de développer un site web et j'ai une question qui m'embête.
J'ai une page php et je ne veux pas que la page puisse être ouverte autrement que par mon code. Je voudrais faire une redirection dans le cas où l'utilisateur entrerait directement l'url de la page dans la barre d'adresse du navigateur.
C'est possible ça ?? Si oui, comment ?
Merci d'avance !

**Graimbault** · 29/04/2012, 18h22

Bonjour,

Une solution pourrait consister à faire quelque chose de la sorte (dans l'idée):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if (!$pagePrecedente == $tellePage)
     header ('Location: /');

Comme ca tu vérifies d'où arrive l'internaute. Si ce n'est pas d'une page autoriser il est redirigé vers où tu veux.

Reste à trouver comment exprimer en PHP $pagePrecedente. Et je crois que c'est quelque chose comme $_SERVER["HTTP_REFERER"]. A vérifier...

Et donc finalement, comment traduire $tellePage en PHP. Si vous ne pouvez y accéder que depuis une page c'est direct. En revanche s'il est possible d'y accéder depuis plusieurs, peut-être un tableau ou quelque chose d'autre.

En espérant vous avoir mis sur une piste.

Cordialement,

Graimbault

**Sancha** · 29/04/2012, 19h32

Merci pour cette idée !
Ca pourrait être une bonne solution... Faudrait que j'essaye.
Mais comme la page concernée doit s'ouvrir dans un popup...
Il faudrait peut être que je regarde du côté du javascript pour identifier le window.opener du popup.
Merci pour la piste en tout cas !

**elcoyotos** · 01/05/2012, 12h20

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
$path_parts = pathinfo($_SERVER['HTTP_REFERER']);
if ($path_parts['dirname'] == "http://www.monsite-com/un_repertoire/un_autre_rep"  ) {
?>

Avec ce code, tu vérifie que le referer provient bien de ton site ...
Surtout pas de vérification en JS !!! Trop facile à contourner ...

**stealth35** · 01/05/2012, 16h02

Envoyé par elcoyotos

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<?php
$path_parts = pathinfo($_SERVER['HTTP_REFERER']);
if ($path_parts['dirname'] == "http://www.monsite-com/un_repertoire/un_autre_rep"  ) {
?>

Avec ce code, tu vérifie que le referer provient bien de ton site ...
Surtout pas de vérification en JS !!! Trop facile à contourner ...

changer le référer c'est aussi facile, et surtout ça ne marche pas si le navigateur n'envoie pas le referer

**elcoyotos** · 01/05/2012, 17h34

changer le référer c'est aussi facile

Comment fais tu ?

et surtout ça ne marche pas si le navigateur n'envoie pas le referer

Un exemple concret ?

**stealth35** · 01/05/2012, 21h11

Envoyé par elcoyotos

Comment fais tu ?
Un exemple concret ?

un petit about:config dans Firefox et tu peux changer tout ce que tu veux, sinon en PHP c'est simple de créer une vrai requête HTTP

**laurentSc** · 01/05/2012, 22h40

Moi, je pense à une autre solution, basée sur les sessions PHP : dans la page appelante, tu positionnes au préalable une session, puis dans la page appelée, tu testes cette session ; je pense que ce n'est pas contournable.

Invité · 01/05/2012, 23h13

Envoyé par Sancha

je ne veux pas que la page puisse être ouverte autrement que par mon code.

Bonsoir,
1/ quel est ce code ?
-> un lien <a ...></a> ?
-> un formulaire <form ...></form>?
-> autre ??
2/ Dans une seule ou plusieurs page ?

Perso, j'utilise un système similaire à celui indiqué par LaurentSc :
A/ dans le fichier où se trouve le lien :
- création d'une SESSION, contenant un nombre/chaine aléatoire (donc : qui change à chaque fois).
- si <form> : un champ input hidden, avec en value la valeur de la SESSION
- si <a> : la valeur de la SESSION est passée en paramètre dans l'URL

B/ dans le fichier de réception :
- on vérifie que la SESSION = valeur reçue (en GET ou POST, selon le cas)
- on vide la SESSION

**laurentSc** · 01/05/2012, 23h55

C'est même plus "chiadé" que ce que j'imaginais ; en fait, si l'utilisateur rentre directement l'URL dans la barre d'adresse du navigateur, peu de chance que la session existe...donc je ne suis pas sûr qu'il soit nécessaire de générer une valeur aléatoire et de la transmettre (par champ hidden ou par l'URL).

Invité · 02/05/2012, 08h23

C'est la VALEUR de la SESSION qui est comparée au POST ou GET.
Ce n'est pas juste un test d'existence de la SESSION.

Le système que j'ai décrit permet aussi d'éviter de refaire le traitement d'un formulaire si on "actualise" (F5) la page :
car après le 1er traitement la SESSION est vidée, et donc est différente de la valeur du POST ou GET.

On évite donc :
- d'envoyer plusieurs fois le même email,
- de créer plusieurs INSERT en Bdd de la même ligne,
- ou plusieurs DELETE de la même ligne,
-...

**laurentSc** · 02/05/2012, 08h27

T'as parfaitement raison ; OK.

**elcoyotos** · 02/05/2012, 09h39

un petit about:config dans Firefox et tu peux changer tout ce que tu veux

Peux tu me donner un exemple concret STP ? Cela m'intéresse ...

en PHP c'est simple de créer une vrai requête HTTP

Bien sur mais de chez moi, comment pourrai je faire croire à http://www.developpez.net (par exemple) que le referer provient bien de votre site ????
Donne moi un exemple STP ...

**stealth35** · 02/05/2012, 09h48

Envoyé par elcoyotos

Peux tu me donner un exemple concret STP ? Cela m'intéresse ...

Bien sur mais de chez moi, comment pourrai je faire croire à http://www.developpez.net (par exemple) que le referer provient bien de votre site ????
Donne moi un exemple STP ...

...

Tu prends l'extension Modify Header

En paramètres :

Modify Action,
Header name : Referer
Header value: hello
Save

Tu réactualises la page et voila,
c'est une donnée coté client, donc modifiable

**elcoyotos** · 02/05/2012, 15h20

Merci pour ton exemple.

c'est une donnée coté client, donc modifiabe

C'est juste ...
Effectivement, avec Modify Header ....
Peux tu me montrer un exemple de ce qu'on peut faire avec about:config ?

**stealth35** · 02/05/2012, 15h29

Envoyé par elcoyotos

Merci pour ton exemple.
C'est juste ...
Effectivement, avec Modify Header ....
Peux tu me montrer un exemple de ce qu'on peut faire avec about:config ?

tu mets le network.http.sendRefererHeader a 0, et ça n'envoie plus le referer

**elcoyotos** · 02/05/2012, 17h44

Merci pour l'exemple. Dans ce cas :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SERVER['HTTP_REFERER'] = ""

C'est bien ça ?

Avec mon histoire de vérification du REFERER, si on ajoute la technique du grain de sel, cela pourrai être fiable non ?

**stealth35** · 02/05/2012, 17h51

Envoyé par elcoyotos

Merci pour l'exemple. Dans ce cas :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$_SERVER['HTTP_REFERER'] = ""

C'est bien ça ?

Avec mon histoire de vérification du REFERER, si on ajoute la technique du grain de sel, cela pourrai être fiable non ?

même pas la variable $_SERVER['HTTP_REFERER'] n'existera pas,
le meilleur moyen étant d'utiliser les sessions (et encore ça se simule aussi)

**elcoyotos** · 02/05/2012, 18h40

Bon, ok.
Mais si on vérifie que le referer existe et qu'on ajoute une chaine aléatoire ?
Genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
<?php
$path_parts = pathinfo($_SERVER['HTTP_REFERER']);
$chaine_aleatoire = "sfg4554";
 
if ( isset($_SERVER['HTTP_REFERER']) and $path_parts['dirname'].$chaine_aleatoire == "http://www.monsite.com/un_repertoire".$chaine_aleatoire) {
?>

Là ça commence à le faire non ?

**stealth35** · 02/05/2012, 19h58

faut bien vérifier cette chaine

Empêcher l'ouverture d'une page web

Langage PHP

Discussions similaires

Partager

Partager