Я создал веб-форму в своем собственном домене, за пределами домена моей компании. Форма предназначена для сотрудников компании. Когда сотрудник хочет перейти к форме, он должен войти на сайт компании и щелкнуть ссылку. Таким образом, сотруднику не нужен специальный логин для формы, но он может использовать стандартный логин компании. В .htaccess на сервере веб-формы я проверяю HTTP_REFER. Если ссылка верна, доступ предоставляется и устанавливается cookie. Когда сотрудник снова обращается к форме, он может перейти напрямую, потому что у него есть файл cookie.
<If "%{HTTP_REFERER} == 'https://sites.google.com/a/company/form'">
Header append Set-Cookie "verified_user=yes;path=/;Secure;HttpOnly;Expires=Wed, Jan 01 2020 2:02:02 GMT"
</If>
<Elseif "%{HTTP_COOKIE} != 'verified_user=yes'">
Redirect https://sites.google.com/a/company/form
</Elseif>
Насколько это безопасно?