Witam, mam taki problem,

Chciałbym zrobić prosty widżet z formularzem, który użytkownicy mojego serwisu umieszczali by na swojej stronie i ludzie odwiedzający ich strony mogli by wysłać za jego pomocą wiadomość do mojego serwisu. I tu mam taki problem, bo muszę się upewnić z jakiej stony WWW (domeny) te wiadomości przychodzą i zarazem uniemożliwić zarówno właścicielowi witryny jak i jego odwiedzającym sfałszowanie czy zmianę tej kluczowej dla mnie informacji. I tu pytanie jak to osiągnąć?

Myślałem o Content-Security-Policy, ale stare przeglądarki tego rozwiązania nie wspierają.

Pomyślałem zatem aby wykorzystać element <iframe> z INPUT'em i w moim serwisie sprawdzać $_SERVER['HTTP_REFERER'] czy jest zgodny z tym co mam w bazie przypise do USER_ID. Problem w tym, że wszędzie gdzie o tym czytam, to jest napisane, żeby nie opierać bezpieczeństwa na $_SERVER['HTTP_REFERER'] ponieważ można go łatwo sfałszować.

No i ok, tylko jak to się ma gdy to jest <iframe>? Bo ja rozumiem, że można sfałszować nagłówek wysyłając $_POST, czy wyłączyć REFERER w przeglądarce aby ich dnie dołączała. Ale czy strona internetowa, która ma załączoną ramkę może to zmienić lub ukryć HTTP_REFERER i nie przekazywać tej informacji do <iframe>'a?

Z góry dzięki za pomoc,
Artus