リファラー検査

Contaoはバージョン2.10から、それ以前のリファラー検査に代えてリクエストトークンシステムを導入しています。

いずれも何か入力するフォームを含んだページに関連していて、フォームの提出元が本来の正しいページから提出されたもので、捏造された不正なものでないことを確認するための方法です。

ユーザーがリンクやボタンをクリックして他のページに移動するとき、ブラウザーはHTTPのリクエストヘッダーのRefererフィールドに移動前のページのURLを入れます。サーバー側はこれを検査して、想定したページからのリクエストであることを確認します。

実際には、HTTPのクライアントはリクエストヘッダーを好きに作成できるので、あたかも想定しているページから送られたように偽装することは可能なので、完全に悪意のあるリクエストを防げるわけではありません。