Google Maps API und HTTP Referer?

Hallöchen,

ich habe mal wieder eine kleine Verständnisfrage.

Lege ich mir für die Google Maps API einen Key an, muss ich ja zugleich auch eine Domain angeben, von welcher aus der Link inkl. Key aufgerufen wird, rufe ich den Link von einer anderen Domain aus auf, die ich nicht vorher registriert habe, bekomme ich ein Popup mit einer Fehlermeldung.

Nun meine Frage:

Wie ermittelt Google (möglicherweise) die Domain, von welcher aus der Link aufgerufen wird?

$_SERVER['HTTP_REFERER']; soll da nicht sonderlich vertrauenswürdig sein, habe ich auf php.net gelesen.

Danke im Voraus ;-)

Boris

vielleicht nehmen die direkt das HTML-Pendant .. und der HTML-Referer ist ausreichend für Google um erstmal grob festzustellen, von welchem Server die Anfrage (weiter)geleitet wird

Zum einen reicht diese grobe Abfrage, zum anderen könnte es auch sein, dass die URL per JavaScript ausgelesen wird.

Ist denn das HTML Pendant nicht genauso manipulierbar, z.B. durch einen Browser, der einfach einen anderen Referer vortäuscht?

Kleiner Nachtrag:

Lese ich den Referer per Java Script aus..

Code:

<?php
echo "
<script type='text/javascript'>
document.write(document.referrer);
</script>";
?>

oder per PHP ...

Code:

$_SERVER['HTTP_REFERER'];

Wenn also der Browser den Referer nicht überträgt, dann würden doch beide Lösungen nicht funktionieren, oder?

//Jeändert

wie kommst du darauf, dass der Browser den Referer nicht überträgt ...

nimm mal Firefox mit Firebug und schau die die Netzwerk-kommunikation an, besonders die Header-Daten ....

im übrigen kann es Google doch egal sein, wenn deine Referer -Information unterdrückt wird - sie lassen dich nur auf die API wenn sie passt - also wirst du sie schön übertragen müssen

Deinen Nachtrag kannst du in Zukunft auch in deinen Beitrag editieren …*ob du es glaubst oder nicht, dafür ist die Funktion da!

Jedenfalls: Wenn ich die Adresse per JavaScript auslese, dann brauch ich nicht den Referer (warum auch?), sondern die aktuelle Adresse. Und das ist –*meines Wissens –*eine zuverlässige Ressource.

Ich frage nach der Manipulierbarkeit, weil ich gelesen habe, dass manch Browser den Referer nicht übertägt oder ihn verändert.

Und daher interessiert mich, wie man generell realisieren kann, dass immer ein zuverlässiger Referer übertragen wird, sollte man selbst mal in die Verlegenheit kommen, einen Referer verwenden zu müßen.


Sicherlich kann man jemanden aussperren bzw. dafür sorgen, dass er bei einem leeren Referer oder einer Nichtübereinstimmung mit der vorher registrierten Verbindung Domain zu API Key keinen Zugriff auf die API bekommt. Aber letztlich wünscht man sich doch, dass jeder User Zugriff auf die API hat, wenn er einen Key besitzt und der Key zur Domain passt.

Sorry für das "Nichteditieren", habe da in dem Moment nicht dran gedacht.

Wenn ein JavaScript auf der Domain example.com eingebunden wird und eben diese Domain prüfen will, dann braucht es keinen Referrer (der ist dann nämlich auch gar nicht interessant), sondern kann document.domain oder location.hostname auslesen.

Und eben für mich ist ja der Referer interessant.

Beispiel:
User 1 mit Domain example1.com ruft eine ihm zur Verfügung gestellte API auf. Diese API liegt auf example2.com

Aufruf:

example2.com/api.php?key=123456

Domain example2.com prüft nun, ob example1.com (Anhand des Referers) in der Datenbank den Schlüssel 123456 besitzt. Wenn ja, liefert die API ein Bild zurück, was auf der example1.com angezeigt wird.

Also muss ich mit möglichst zuverlässigen Mitteln den Referer übertragen / ermitteln, damit die Prüfung der Zugehörigkeit zum Schlüssel nicht fehlschlägt.

nö, das ist eher Aufgabe dessen, der die API benutzen will ....

wenn er halt so einen verfrickelten Browser benutzt, der den Referer verfälscht - dann kannst du ihm eine entsprechende Meldung präsentieren ... und ihn darauf hinweisen, dass er nen vernünftigen Browser benutzen soll

Jap, das wäre meine Ausweichvariante gewesen bzw. das Fehlerhandling für diesen Fall.