频道栏目
首页 > 程序开发 > Web开发 > PHP教程 > PHP框架专栏 > cakephp > 正文
PHP利用$_SERVER["HTTP_REFERER"]防止站外链接和任意网址跳转漏洞
2016-01-07 14:29:49           
收藏   我要投稿

360提示本网站网站发现任意网址跳转漏洞

难得有空余时间,又开始折腾我的新博客的,哈哈。玩微博偶尔又扫到了360,就想着扫描一下我的网站试试。一看不要紧,提醒存在任意网址跳转漏洞:

该漏洞可能导致网站用户被钓鱼,造成不必要的损失,严重影响网站在用户中的形像!

漏洞地址:

http://ziren.org/app/zr-s.php?url=http://oxoxoxoxoxoxox.com

扫描结果:

ziren.org安全报告,提示存在任意网址跳转漏洞

为何出现这个问题?

其实这个是我设置,在不影响用户体验的情况下,为了所谓的网站权重问题而设置的,站外链接都是从这个出口导出,这个链接禁止搜索引擎收录。仔细想想,这是也真改好好思考一下,如果有人利用这个设置搞下不正当的东西,我的主机真吃不消,再者很可能被xxx加入黑名单之类的东东,多一事不如少一事。搞点php的$_SERVER["HTTP_REFERER"]验证一下吧:

view sourceprint

01.

02.$check_url=$_SERVER['HTTP_REFERER'];

03.if($check_url!=''){

04.$check_url=parse_url($check_url);

05.if($check_url[host]!='ziren.org'){

06.$url='http://ziren.org/';

07.exit();

08.}

09.}

10.?>

什么情况下HTTP_REFERER会失效?

只有点击超链接A(即

点击复制链接 与好友分享!回本站首页
相关TAG标签 漏洞 链接 网址
上一篇:PHP防CC攻击防止快速刷新代码
下一篇:php web网站开发安全
相关文章
图文推荐
点击排行

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站