外部の別ホストからのPOST送信を禁止したい

素晴らしい質問です、勉強になりました。世の中での成り済ましってそうやって行われるわけですね・・・いやぁ～恐ろしいです。 でも確かに！HTMLソースコード丸見えだと私でも成り済ましが出来てしまいそう・・・怖いなぁ。どっちにしても、この場合は、クライアント認証と言ってIPアドレスを伴って認証をクライアントにしてもらう時にサーバー認証をするか、サーバー認証を伴ってクライアントに送信されてるかのどちらかにしないとダメっぽいですよね。となると、画面が変わるたんびにクライアント認証をチェックしたらサーバーが表示するか？サーバー認証をいちいちパスワードを求めてするか？どちらかしか、結局ないのでは？ クライアント認証はクライアントがパスワードを入力した直後にこのIPがパスワードを入れたIPとしてサーバーがいちいちクライアントを認証するしくみなのでクライアントは楽ですよね。 でもサーバー認証は、毎回サーバーが認証をクライアントに求めてから認証するのでしょうか？やっぱり、いくら小細工しても抜け道がありそうなので、暗号化した方が良いと世間は言うのだなと、初めて納得した思いです！！！わざわざ高いお金で暗号化する機能をくぐらせて通信することに何の意味が！セッション管理でいいのでは？と思っていたけど・・・甘いんですね、こんな成り済ましされたら一ころ。

POSTメソッドを叩いて該当URLに対してリクエストを行うのはブラウザが行うものですから、ブラウザから該当URLに対してPOSTメソッドで某かのデータを送信してくるのであれば、通常、別ドメインに自サイトのフォームのコピーのようなものを作成され、通信されるのは制限できないと思います。 制限するとしたら、yambejpさんの仰るように$_SERVER変数に含まれるリファラ情報を見て制限するというところになりますが、ブラウザがリファラを通知してこなかった場合、全てはじいてしまいます。 そうなると、質問者さんが参照されたURL（はてなアンテナ）にて、ベストアンサーとなっているスクリプトのような、ワンタイムチケット（ワンタイムトークン）を発行する方法が良いのではないでしょうか。 http://www.jumperz.net/texts/csrf.htm こちらにCSRFの詳しい対策方法などが記載されております。

リファラをみて、外部だったときに、$_POSTをクリアしてしまえば？