岡部といいます。 >「このサイトはHTTP_REFERERを参照してます。 > HTTP_REFERERが無い場合はこのサービスは利用できません。」 >で いいんじゃないですか? これが ゆるされないなら・・・ 他の方も書いてますが、 HTTP_REFERERを送らないクライアント&送れない環境というのは 結構あると思います。 要は、それらを無視してよいサービスなら構わないのですが。。。 ちゃんとした(?)方法としては、 偽装されにくくほぼユニークなデータを GETパラメタなり、POSTのフィールドなりに加えて、 これを辿り着く先でチェックすることです。 time()から生成したMD5でも、またはHMACでも、良いでしょう。 セッションハイジャック対策とかと同様の話になりますね。 そこまでする必要のあるサービスかどうかは別ですが。