php web网站开发安全
360提示本网站网站发现任意网址跳转漏洞
难得有空余时间,又开始折腾我的新博客的,哈哈。玩微博偶尔又扫到了360,就想着扫描一下我的网站试试。一看不要紧,提醒存在任意网址跳转漏洞:
该漏洞可能导致网站用户被钓鱼,造成不必要的损失,严重影响网站在用户中的形像!
漏洞地址:
http://ziren.org/app/zr-s.php?url=http://oxoxoxoxoxoxox.com
扫描结果:
为何出现这个问题?
其实这个是我设置,在不影响用户体验的情况下,为了所谓的网站权重问题而设置的,站外链接都是从这个出口导出,这个链接禁止搜索引擎收录。仔细想想,这是 也真改好好思考一下,如果有人利用这个设置搞下不正当的东西,我的主机真吃不消,再者很可能被xxx加入黑名单之类的东东,多一事不如少一事。搞点php 的$_SERVER["HTTP_REFERER"]验证一下吧:
view sourceprint
01.<?php
02. $check_url=$_SERVER['HTTP_REFERER'];
03. if($check_url!=''){
04. $check_url=parse_url($check_url);
05. if($check_url[host]!='ziren.org'){
06. $url='http://ziren.org/';
07. exit();
08. }
09. }
10.?>
什么情况下HTTP_REFERER会失效?
- 上一篇:PHP防CC攻击防止快速刷新代码
- 下一篇:php编写的一个E-mail验证类
相关文章
图文推荐
- 文章
- 推荐
- 热门新闻