Moin

problem ist jetzt, daß mein server erst garkein referer mitgibt. wir das irgendwo im httpd.conf eingestellt?? oder wo kann man das einschalten?

Der Referer wird in einem HTTP-Header vom Client übergeben, der Server (zumindest der Server, der die Ausgangsseite vorhält) hat damit also überhaupt gar nichts zu tun. Schlimmer noch: Der Client kann sich aussuchen, ob er den referer überhaupt überträgt, und wenn ja, ob er auch den richtigen Wert sendet. Da in der Vergangenheit mit dieser Angabe auch schon mal Schindluder getrieben wurde, haben viele Benutzer sich entschieden den referer-Header zu unterdrücken oder Blödfug übermitteln zu lassen (sowas wie "Ich war hier" :), er ist also für eine Authentifizierung denkbar ungeeignet, zumal sich der referer kinderleicht fälschen lässt.

Wenn du sicherstellen willst, dass ein Besucher wirklich von einer bestimmten Seite kommt, musst du das anders regeln. Eine Idee wäre zum Beispiel eine Art Ticket: Der Ausgangsserver generiert bei jedem Seitenaufruf eine Zufallszahl, hängt diese an die Links auf der Seite an und schafft sie ausserdem auch noch irgendwie auf den Zielserver. Dort werden sie vorläufig gespeichert (und alte Werte rausgeschmissen). Wenn jetzt ein Besucher auf einen der Links klickt, überprüft der Zielserver, ob die übergebene Zahl in der Liste ist und falls ja, wird der Besucher reingelassen (vielleicht noch gleich eine Session aufmachen) und die Zahl aus der Liste gestrichen. Selbstverständlich gibt's auch noch andere Möglichkeiten (zB. MD5(Zufallszahl + Geheimnis), aber der http-referer ist dafür nicht geeignet

--
Henryk Plötz
Grüße von der Ostsee