首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

PHP利用$_SERVER["HTTP_REFERER"]防止站外链接和任意网址跳转漏洞

作者:雨蝶馨菲_484 | 来源:互联网 | 2013-08-12 09:50
今天利用360扫描我的网站,提示警告基本的任意网址跳转漏洞,其实这个是我设置,在不影响用户体验的情况下,为了所谓的网站权重问题而设置的...PHP利用$_SERVER["HTTP_REFERER"]防止站外链接和任意网址跳转漏洞

360提示本网站网站发现任意网址跳转漏洞

难得有空余时间,又开始折腾我的新博客的,哈哈。玩微博偶尔又扫到了360,就想着扫描一下我的网站试试。一看不要紧,提醒存在任意网址跳转漏洞:

该漏洞可能导致网站用户被钓鱼,造成不必要的损失,严重影响网站在用户中的形像!

漏洞地址:

http://ziren.org/app/zr-s.php?url=http://oxoxoxoxoxoxox.com

扫描结果:

ziren.org安全报告,提示存在任意网址跳转漏洞

为何出现这个问题?

其实这个是我设置,在不影响用户体验的情况下,为了所谓的网站权重问题而设置的,站外链接都是从这个出口导出,这个链接禁止搜索引擎收录。仔细想想,这是也真改好好思考一下,如果有人利用这个设置搞下不正当的东西,我的主机真吃不消,再者很可能被xxx加入黑名单之类的东东,多一事不如少一事。搞点php的$_SERVER["HTTP_REFERER"]验证一下吧:

view sourceprint
01.
02. $check_url=$_SERVER['HTTP_REFERER'];
03. if($check_url!=''){
04. $check_url=parse_url($check_url);
05. if($check_url[host]!='ziren.org'){
06. $url='http://ziren.org/';
07. exit();
08. }
09. }
10.?>

什么情况下HTTP_REFERER会失效?

只有点击超链接A(即)打开的页面才有HTTP_REFERER环境变量,其它如 window.open()、 window.location=…、window.showModelessDialog()等打开的窗口都没有HTTP_REFERER 环境变量。


推荐阅读
  • jsp

    QUIC协议:快速UDP互联网连接

    QUIC协议:快速UDP互联网连接
    QUIC(Quick UDP Internet Connections)是谷歌开发的一种旨在提高网络性能和安全性的传输层协议。它基于UDP,并结合了TLS级别的安全性,提供了更高效、更可靠的互联网通信方式。 ... [详细]
  • jsp

    如何进行暂估入库的会计分录处理?

    本文详细介绍了暂估入库的会计分录处理方法,包括账务处理的具体步骤和注意事项。 ... [详细]
  • jsp

    国内BI工具迎战国际巨头Tableau,稳步崛起

    国内BI工具迎战国际巨头Tableau,稳步崛起
    尽管商业智能(BI)工具在中国的普及程度尚不及国际市场,但近年来,随着本土企业的持续创新和市场推广,国内主流BI工具正逐渐崭露头角。面对国际品牌如Tableau的强大竞争,国内BI工具通过不断优化产品和技术,赢得了越来越多用户的认可。 ... [详细]
  • get

    优化ListView性能

    优化ListView性能
    本文深入探讨了如何通过多种技术手段优化ListView的性能,包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]
  • get

    郑州大学在211高校中的地位与排名解析

    郑州大学在211高校中的地位与排名解析
    本文将详细解读郑州大学作为一所位于河南省的211和双一流B类高校,在全国211高校中的地位与排名,帮助高三学生更好地了解这所知名学府的实力与发展前景。 ... [详细]
  • select

    深入理解 Oracle 存储函数:计算员工年收入

    深入理解 Oracle 存储函数:计算员工年收入
    本文介绍如何使用 Oracle 存储函数查询特定员工的年收入。我们将详细解释存储函数的创建过程,并提供完整的代码示例。 ... [详细]
  • select

    优化ASM字节码操作:简化类转换与移除冗余指令

    优化ASM字节码操作:简化类转换与移除冗余指令
    本文探讨如何利用ASM框架进行字节码操作,以优化现有类的转换过程,简化复杂的转换逻辑,并移除不必要的加0操作。通过这些技术手段,可以显著提升代码性能和可维护性。 ... [详细]
  • jsp

    2018回顾与2019展望

    本文总结了2018年的关键成就,包括职业变动、购车、考取驾照等重要事件,并分享了读书、工作、家庭和朋友方面的感悟。同时,展望2019年,制定了健康、软实力提升和技术学习的具体目标。 ... [详细]
  • jsp

    电子元件封装库:三极管、MOS管及部分LDO(含3D模型)

    电子元件封装库:三极管、MOS管及部分LDO(含3D模型)
    本资源汇集了常用的插件和贴片三极管、MOS管以及部分LDO的封装,涵盖TO和SOT系列。所有封装均配有高质量的3D模型,共计96种,满足日常设计需求。 ... [详细]
  • jsp

    四载相伴,与51CTO学院共成长

    在计算机技术的学习道路上,51CTO学院以其专业性和专注度给我留下了深刻印象。从2012年接触计算机到2014年开始系统学习网络技术和安全领域,51CTO学院始终是我信赖的学习平台。 ... [详细]
  • jsp

    CSS 布局:液态三栏混合宽度布局

    CSS 布局:液态三栏混合宽度布局
    本文介绍了如何使用 CSS 实现液态的三栏布局,其中各栏具有不同的宽度设置。通过调整容器和内容区域的属性,可以实现灵活且响应式的网页设计。 ... [详细]
  • get

    PHP检测AJAX请求的有效方法

    本文详细介绍了如何使用PHP检测AJAX请求,通过分析预定义服务器变量来判断请求是否来自XMLHttpRequest。此方法简单实用,适用于各种Web开发场景。 ... [详细]
  • get

    小红书提高MCN机构入驻门槛,需缴纳20万元保证金

    小红书提高MCN机构入驻门槛,需缴纳20万元保证金
    近期,小红书对MCN机构的入驻要求进行了调整,明确要求MCN机构在入驻时需缴纳20万元人民币的保证金。此举旨在进一步规范平台内容生态,确保社区的真实性和用户体验。 ... [详细]
  • jsp

    Linux 系统启动故障排除指南:MBR 和 GRUB 问题

    Linux 系统启动故障排除指南:MBR 和 GRUB 问题
    本文详细介绍了 Linux 系统启动过程中常见的 MBR 扇区和 GRUB 引导程序故障及其解决方案,涵盖从备份、模拟故障到恢复的具体步骤。 ... [详细]
  • jsp

    动物餐厅高效获取小鱼干攻略

    动物餐厅高效获取小鱼干攻略
    本文将介绍2023年动物餐厅中快速赚取小鱼干的有效方法,帮助玩家更轻松地积累资源。 ... [详细]
author-avatar
雨蝶馨菲_484
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有