php 域名白名单,域名白名单验证
驗證域名是否在白名單中是編程時常用到的功能,對安全性有要求的項目中都有該功能。常見的使用場景有登錄后回跳,跳轉到外站時彈出安全提示等。
知乎登錄后回跳;
只要有登錄的地方就需要用到來源回跳。我們在一個頁面www.baidu.com 調用知乎的登錄框,登錄成功后知乎會回跳到 www.baidu.com 嗎?肯定不會。因為 www.baidu.com 不是知乎自己的域名。所以知乎在登錄驗證成功后會校驗這個 Referer 參數(就是 www.baidu.com )。當 Referer 屬于知乎或者騰訊(知乎被騰訊收購了)的域名才會跳轉。
跳轉到外站時彈出安全提示;
在QQ郵箱中,當我們點擊郵件中的鏈接,跳轉到非騰訊系的網站時都會彈出提示框告訴用戶你可能會跳到釣魚網站。
通過我的測試發現很多知名網站都存在『校驗白名單』被繞過的問題。看起來很簡單的功能,稍不注意就會給自己埋下大坑。
真實的情況比上文舉例復雜的多,例如域名白名單需要支持所有多級域名,需要支持端口號,需要支持http,https,tcp,ftp等等。
在踏過無數坑之后,我通過正則完美的解決了如上所有問題,希望大家不要再踩我踩過的坑。另外我建議通過我的測試方法測試你的代碼是否安全。
PHP版本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37function filterURL($url)
{
$allowDomains = ["test.com", "demo.com"];
foreach ($allowDomains as &$val) {
$val = sprintf((%s), str_replace(".", "\.", $val));
}
$domainStr = sprintf((%s), join("|", $allowDomains));
$pattern = "/^((http://)|(https://)|(//))?([0-9a-zA-Z\._:\-]*[\.@])?" . $domainStr
. "(:[0-9]+)?(/.*)?$/";
if (preg_match($pattern, $url)) {
return true;
} else {
return false;
}
}
var_dump(filterURL("bb.com@test.com")); //true
var_dump(filterURL("test.com@bb.com")); //false
var_dump(filterURL("//test.com")); //true
var_dump(filterURL("http://test.com")); //true
var_dump(filterURL("https://test.com")); //true
var_dump(filterURL("https://test.com:8080/aa.com")); // true
var_dump(filterURL("https://bC.com:N:C@test.com")); //true
var_dump(filterURL("https://a.test.com:8080/aa.com")); // true
var_dump(filterURL("//bb:com@test.com/sss")); // true
var_dump(filterURL("//bb:cc.com@test.com")); // true
var_dump(filterURL("//bb:bb.com@test.com")); // true
var_dump(filterURL("http://test.com")); // true
var_dump(filterURL("https://:test.com")); //false
var_dump(filterURL("https://aA.com?test.com")); //false
var_dump(filterURL("https://aA.com#test.com")); //false
var_dump(filterURL("https://aA.com\test.com")); //false
var_dump(filterURL("javasCript:test.com")); // false
var_dump(filterURL("http://abctest.com")); // false
var_dump(filterURL("http://com:\@test.com")); // false
var_dump(filterURL("http://test.com@aa.com")); // false
var_dump(filterURL("https://test.com:aa.com")); // false
JavaScript版本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32function filterURL(url){
var allowDomains = ["test.com", "demo.com"];
var domainStr = "", result = [];
for (i = 0; i < allowDomains.length; i++) {
allowDomains[i] = "(" + allowDomains[i].replace(".", "\.") + ")";
}
domainStr = "(" + allowDomains.join("|") + ")";
regStr = new RegExp("^((http://)|(https://)|(//))?([0-9a-zA-Z\._:\-]*[\.@])?" + domainStr + "(:[0-9]+)?(/.*)?$");
result = url.match(regStr);
return !!(result && result[0]);
}
console.log(filterURL("bb.com@test.com")); //true
console.log(filterURL("test.com@bb.com")); //false
console.log(filterURL("//test.com")); //true
console.log(filterURL("http://test.com")); //true
console.log(filterURL("https://test.com")); //true
console.log(filterURL("https://test.com:8080/aa.com")); // true
console.log(filterURL("https://bC.com:N:C@test.com")); //true
console.log(filterURL("https://a.test.com:8080/aa.com")); // true
console.log(filterURL("//bb:com@test.com/sss")); // true
console.log(filterURL("//bb:cc.com@test.com")); // true
console.log(filterURL("//bb:bb.com@test.com")); // true
console.log(filterURL("http://test.com")); // true
console.log(filterURL("https://:test.com")); //false
console.log(filterURL("https://aA.com?test.com")); //false
console.log(filterURL("https://aA.com#test.com")); //false
console.log(filterURL("https://aA.com\test.com")); //false
console.log(filterURL("javasCript:test.com")); // false
console.log(filterURL("http://abctest.com")); // false
console.log(filterURL("http://com:\@test.com")); // false
console.log(filterURL("http://test.com@aa.com")); // false
console.log(filterURL("https://test.com:aa.com")); // false
有經驗的程序員不難發現最核心的代碼就是正則表達式,所以其他語言能很好的移植。最后,請牢記安全無小事,編碼需謹慎。
創作挑戰賽新人創作獎勵來咯,堅持創作打卡瓜分現金大獎總結
以上是生活随笔為你收集整理的php 域名白名单,域名白名单验证的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: html5 文字转换烟花,HTML5交互
- 下一篇: Ie html button消失,inp