Ho pochissime conoscenze sulla sicurezza delle applicazioni. Ho visto spesso proteggere la tua applicazione dagli attacchi csrf, gli sviluppatori usano i token e passano questi token con la richiesta di convalida. Voglio sapere se convengo solo che la richiesta proviene dal mio server e rifiuta tutte le richieste provenienti da qualsiasi altro server come può essere pericoloso?
Non puoi sapere da dove proviene la richiesta. Certo, puoi controllare HTTP referer , ma questo ha anche implicazioni.
Molti utenti hanno impostato i loro browser per non fornire il server al referrer, in modo da ottenere i dati della spazzatura. Se non si consentono referrer vuoti si bloccheranno molte richieste legittime. Se si consentono referrer vuoti, quindi tutti quelli che hanno impostato il proprio browser per non inviare referrer possono essere vittime di CSRF.
Quindi rifiutare richieste basate su questo non ti porterà da nessuna parte.
Modifica: si chiama 'referer HTTP', un errore di ortografia del termine referrer.
Leggi altre domande sui tag php security code-security