mabanzaПривет.
Насколько надежно использовать UrlReferrer? Пишут, что он не определен, если
а. У клиента включен файрвол
б. Клиент использует всякие Нортон Интернет Секьюрити
в. не классифицируемые варианты. Вообще не определен без обьяснения причины

Задача состоит в получении урля (или специфической метки как HTTP header) предыдущей страницы, но не как часть URL.

Эта самая предыдущая страница навигирует на проверяющую в javascript-е как href='....'.

Какие есть другие решения этой задачи?
Спасибо.

100% надёжного варианта нет. Это значит, что построить архитектуру навигации, основывающейся на UrlReferer нельзя. Самый надёжный вариант — передавать в URL, если это крайне необходимо (возврат на страницу после выполнения какого-то действия, например, после авторизации). А в общем случае, решение задачи — не решать такие задачи, не тратить на это время.

mabanzaв. не классифицируемые варианты. Вообще не определен без обьяснения причины

Поисковики режут UrlReferer.

mabanzahVostt,

>Самый надёжный вариант — передавать в URL, если это крайне необходимо

Это крайне необходимо, но передавать в URL нельзя даже в закодированном виде. Речь идет о запрете копи-пэйста URL с тем, чтоб пользователь заходил всегда только через некий портал.
Что попробовано:

-передавать в URL тайм-стемп с определенным временем жизни. Скопировал, пришел домой, запустил - не получается, тайм стемп протух.
не годится, по причинам, которые я здесь не буду раскрывать. В общем, можно взломать.

-помещать "дочерний" сайт в iframe портала. Тогда для копи-пэйста URL не доступен
не годится. Из моего предыдущего опыта, iframe - это ж...па

- записывать серверные переменные IIS и анализировать их. Пока понятия не имею, как это реализовать и поможет ли.

Может можно как-то еще?
Спасибо.

Опиши пожалуйста задачу в целом. А то непонятно, что нужно. На счёт urlreferer уже сказано -- никак нельзя, так как реферер очень часто режут, он теряется после f5, а другого механизма кроме url нет. Можно давать одноразовый URL, после которого сервер сайта записывает данные в куки, второй раз по url пройти не получится. Рекомендую посмотреть на OAuth, как это делается там. Достаточно надёжно. И без всяких urlreferer.

mabanzahVostt,

Да, собственно, типичная задача не пущать. Есть Портал, на котором юзер логинится. После логина, портал редиректит на необходимую страницу для дальнейшей работы. При этом браузер честно показывает новый урл этой самой страницы.

Теперь плохой парень копи пайстит этот урль. Открывает браузер и работает, минуя портал.

Не могу красиво решить проблему.

После логина в куки записывается шифрованный тикет, или идентификатор сессии, или что-то ещё, что однозначно идентифицирует юзера. Плохой парень не может скопипастить этот УРЛ, так как без куки по этому УРЛ он ничего не получит.

mabanzahVostt,

Он с веселым хохотом все получит, ведь куки хранится на его машине. Он скопипайстил урль (куки уже на его машине), открыл новый экземпляр браузера. Урл тот же, куки те же - пожалуйста работай минуя портал.

Не вижу проблемы.

mabanzaЛучший вариант - не показывать второй урль (урль самой компании). На любом этапе пользователь видит только портальный урль. Как бы разработать это направление?
Спасибо.

Анальные-проктологические решения без каких-даже малейших намёков на адекватность процветают. Лично я умываю руки, что-то предлагать.

mabanza,

Опишите полный сценарий, ваши обрывки информации не дают помочь вам решить проблему. Каких идей вы ждёте? Пока что вообще не понятно чего вы хотите. Скрывать URL? Любой школьник 3 класса средне-приходской школы, еле знакомый с интернетом, рассмеётся вам в лицо. И будет чертовски прав. Опишите сценарий, как можно полнее и точнее, что и как ДОЛЖНО происходить, и в КАКОМ порядке.

mabanzaПользователь может скопи-пэйстить урль и зайти минуя портал с того же компьтера и даже в следующую секунду, но урль будет содержать прежний токен, что приведет рассинхронизации с порталом.

Вот сценарий решения:

1. Портал генерит одноразовый URL и редиректит пользователя на этот URL. Ещё раз повторю. Одноразовый. Что значит, рабоает всего один раз. Всё. Копировать его не имеет смысла, второй раз он не сработает.

2. Одноразовый URL содержит некий шифрованный токен типа ?token=blablablabla, понятный сайту.

3. Сайт, получив запрос, содержащий в URL токен, генерит сессионную куку. Ещё раз повторю, сессионную. Сессионная -- это значит, что после закрытия браузера, кука исчезает.

4. К сессионной куке сайт хранит свою сессию, валидную в течение небольшого промежутка времени (20 минут или даже меньше). На случай, если предусмотрена длительная работа в процессе сессии, сайт должен с помощью скрипта «пинговать» сервер, продлевая таким образом жизнь куки. Через промежуток времени, если не было запросов или «пинга», сессия умирает, и даже скопированная кука не позволит больше зайти на сайт.

Этих мер должно быть вполне достаточно. Если недостаточно, то делайте двух-факторную авторизацию с отсылкой кода на телефон и обязательно ещё на емейл, постоянным перебросом на сайт портала чтобы подтвержать авторизацию. При каждом запросе. При каждом. А на сайте портала необходимо светить своим лицом в вебкамеру, говорить кодовое слово в микрофон, набирать 5 паролей в правильной последовательности, называть любимое блюдо пробабушки, стучать в грудь, доказывая, что Я СОВЕРШЕННО ТОЧНО НЕ КОПИРОВАЛ КУКИ и УРЛ! Точно! Клясться на библии и брызгать кровью в экран монитора.

Если переживаете, что кто-то чего-то может украть, типа URL стырить и куку, и порно-фотки из личного каталога, то подумайте, что чего мелочиться, злоумышленник может забраться в мозг жертве и её руками опубликовать на сайте злую фотожабу на директора компании, стырив миллионы данных.