【CFiltering】リファラチェックに使用する$_SERVER[“HTTP_HOST”]の値

Ajaxによるアクセス時に、CSRFという攻撃を防ぐためにnonceチェックを行います。

nonceチェックは通常アクセス時にページに埋め込んだnonce値を使用しますが、ページキャッシュの有効期限を一日以上にしている場合、ページに埋め込まれたnonceの有効期限が切れる場合があります。

ページキャッシュを考慮するかどうかが有効の場合、nonce値をAjaxアクセスで取得することで上の症状を回避しています。

nonceチェックをせずにAjaxアクセスする場合にリファラをチェックするかどうかが有効の場合、ホスト名を用いてそのAjaxアクセスがサイトから発行されたされたものかどうかをチェックします。

そのときに使用するホスト名を指定するのがこの設定です。

一番右の「使用される値」が公開しているホームページのホスト名と異なる場合、ここで設定することで正しくチェックを行うことができる場合があります。

デフォルトは指定なしです。