首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

PHP利用$_SERVER["HTTP_REFERER"]防止站外链接和任意网址跳转漏洞

作者:雨蝶馨菲_484 | 来源:互联网 | 2013-08-12 09:50
今天利用360扫描我的网站,提示警告基本的任意网址跳转漏洞,其实这个是我设置,在不影响用户体验的情况下,为了所谓的网站权重问题而设置的...PHP利用$_SERVER["HTTP_REFERER"]防止站外链接和任意网址跳转漏洞

360提示本网站网站发现任意网址跳转漏洞

难得有空余时间,又开始折腾我的新博客的,哈哈。玩微博偶尔又扫到了360,就想着扫描一下我的网站试试。一看不要紧,提醒存在任意网址跳转漏洞:

该漏洞可能导致网站用户被钓鱼,造成不必要的损失,严重影响网站在用户中的形像!

漏洞地址:

http://ziren.org/app/zr-s.php?url=http://oxoxoxoxoxoxox.com

扫描结果:

ziren.org安全报告,提示存在任意网址跳转漏洞

为何出现这个问题?

其实这个是我设置,在不影响用户体验的情况下,为了所谓的网站权重问题而设置的,站外链接都是从这个出口导出,这个链接禁止搜索引擎收录。仔细想想,这是也真改好好思考一下,如果有人利用这个设置搞下不正当的东西,我的主机真吃不消,再者很可能被xxx加入黑名单之类的东东,多一事不如少一事。搞点php的$_SERVER["HTTP_REFERER"]验证一下吧:

view sourceprint
01.
02. $check_url=$_SERVER['HTTP_REFERER'];
03. if($check_url!=''){
04. $check_url=parse_url($check_url);
05. if($check_url[host]!='ziren.org'){
06. $url='http://ziren.org/';
07. exit();
08. }
09. }
10.?>

什么情况下HTTP_REFERER会失效?

只有点击超链接A(即)打开的页面才有HTTP_REFERER环境变量,其它如 window.open()、 window.location=…、window.showModelessDialog()等打开的窗口都没有HTTP_REFERER 环境变量。


推荐阅读
  • php

    Vue 2 中解决页面刷新和按钮跳转导致导航栏样式失效的问题

    Vue 2 中解决页面刷新和按钮跳转导致导航栏样式失效的问题
    本文介绍了如何通过配置路由的 meta 字段,确保 Vue 2 项目中的导航栏在页面刷新或内部按钮跳转时,始终保持正确的 active 样式。具体实现方法包括设置路由的 meta 属性,并在 HTML 模板中动态绑定类名。 ... [详细]
  • int

    次小生成树问题的高效求解

    本文探讨了如何通过最小生成树(MST)来计算严格次小生成树。在处理过程中,需特别注意所有边权重相等的情况,以避免错误。我们首先构建最小生成树,然后枚举每条非树边,检查其是否能形成更优的次小生成树。 ... [详细]
  • int

    QUIC协议:快速UDP互联网连接

    QUIC协议:快速UDP互联网连接
    QUIC(Quick UDP Internet Connections)是谷歌开发的一种旨在提高网络性能和安全性的传输层协议。它基于UDP,并结合了TLS级别的安全性,提供了更高效、更可靠的互联网通信方式。 ... [详细]
  • int

    如何进行暂估入库的会计分录处理?

    本文详细介绍了暂估入库的会计分录处理方法,包括账务处理的具体步骤和注意事项。 ... [详细]
  • select

    PHP 编程疑难解析与知识点汇总

    PHP 编程疑难解析与知识点汇总
    本文详细解答了 PHP 编程中的常见问题,并提供了丰富的代码示例和解决方案,帮助开发者更好地理解和应用 PHP 知识。 ... [详细]
  • select

    深入理解OAuth认证机制

    深入理解OAuth认证机制
    本文介绍了OAuth认证协议的核心概念及其工作原理。OAuth是一种开放标准,旨在为第三方应用提供安全的用户资源访问授权,同时确保用户的账户信息(如用户名和密码)不会暴露给第三方。 ... [详细]
  • select

    极大似然估计(MLE)及其3D可视化解析

    极大似然估计(MLE)及其3D可视化解析
    本文详细介绍了极大似然估计(Maximum Likelihood Estimation, MLE)的推导过程,并通过3D可视化展示其在概率密度函数中的应用。我们将探讨如何利用MLE来估计参数,以及它在实际问题中的重要性。 ... [详细]
  • select

    2023 ARM嵌入式系统全国技术巡讲

    2023 ARM嵌入式系统全国技术巡讲旨在分享ARM公司在半导体知识产权(IP)领域的最新进展。作为全球领先的IP提供商,ARM在嵌入式处理器市场占据主导地位,其产品广泛应用于90%以上的嵌入式设备中。此次巡讲将邀请来自ARM、飞思卡尔以及华清远见教育集团的行业专家,共同探讨当前嵌入式系统的前沿技术和应用。 ... [详细]
  • int

    解决 IIS 中 PHP 页面无法访问的问题

    本文介绍如何解决在 IIS 环境下 PHP 页面无法找到的问题。主要步骤包括配置 Internet 信息服务管理器中的 ISAPI 扩展和 Active Server Pages 设置,确保 PHP 脚本能够正常运行。 ... [详细]
  • int

    Python 异步编程:深入理解 asyncio 库(上)

    Python 异步编程:深入理解 asyncio 库(上)
    本文介绍了 Python 3.4 版本引入的标准库 asyncio,该库为异步 IO 提供了强大的支持。我们将探讨为什么需要 asyncio,以及它如何简化并发编程的复杂性,并详细介绍其核心概念和使用方法。 ... [详细]
  • int

    周期性出现的时间戳字段异常问题

    探讨一个老旧 PHP MySQL 系统中,时间戳字段不定期出现异常值的问题及其可能原因。 ... [详细]
  • int

    国内BI工具迎战国际巨头Tableau,稳步崛起

    国内BI工具迎战国际巨头Tableau,稳步崛起
    尽管商业智能(BI)工具在中国的普及程度尚不及国际市场,但近年来,随着本土企业的持续创新和市场推广,国内主流BI工具正逐渐崭露头角。面对国际品牌如Tableau的强大竞争,国内BI工具通过不断优化产品和技术,赢得了越来越多用户的认可。 ... [详细]
  • int

    优化ListView性能

    优化ListView性能
    本文深入探讨了如何通过多种技术手段优化ListView的性能,包括视图复用、ViewHolder模式、分批加载数据、图片优化及内存管理等。这些方法能够显著提升应用的响应速度和用户体验。 ... [详细]
  • int

    郑州大学在211高校中的地位与排名解析

    郑州大学在211高校中的地位与排名解析
    本文将详细解读郑州大学作为一所位于河南省的211和双一流B类高校,在全国211高校中的地位与排名,帮助高三学生更好地了解这所知名学府的实力与发展前景。 ... [详细]
  • int

    深入理解 Oracle 存储函数:计算员工年收入

    深入理解 Oracle 存储函数:计算员工年收入
    本文介绍如何使用 Oracle 存储函数查询特定员工的年收入。我们将详细解释存储函数的创建过程,并提供完整的代码示例。 ... [详细]
author-avatar
雨蝶馨菲_484
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有