php 域名白名单,域名白名单验证
驗證域名是否在白名單中是編程時常用到的功能,對安全性有要求的項目中都有該功能。常見的使用場景有登錄后回跳,跳轉(zhuǎn)到外站時彈出安全提示等。
知乎登錄后回跳;
只要有登錄的地方就需要用到來源回跳。我們在一個頁面www.baidu.com 調(diào)用知乎的登錄框,登錄成功后知乎會回跳到 www.baidu.com 嗎?肯定不會。因為 www.baidu.com 不是知乎自己的域名。所以知乎在登錄驗證成功后會校驗這個 Referer 參數(shù)(就是 www.baidu.com )。當 Referer 屬于知乎或者騰訊(知乎被騰訊收購了)的域名才會跳轉(zhuǎn)。
跳轉(zhuǎn)到外站時彈出安全提示;
在QQ郵箱中,當我們點擊郵件中的鏈接,跳轉(zhuǎn)到非騰訊系的網(wǎng)站時都會彈出提示框告訴用戶你可能會跳到釣魚網(wǎng)站。
通過我的測試發(fā)現(xiàn)很多知名網(wǎng)站都存在『校驗白名單』被繞過的問題。看起來很簡單的功能,稍不注意就會給自己埋下大坑。
真實的情況比上文舉例復雜的多,例如域名白名單需要支持所有多級域名,需要支持端口號,需要支持http,https,tcp,ftp等等。
在踏過無數(shù)坑之后,我通過正則完美的解決了如上所有問題,希望大家不要再踩我踩過的坑。另外我建議通過我的測試方法測試你的代碼是否安全。
PHP版本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37function filterURL($url)
{
$allowDomains = ["test.com", "demo.com"];
foreach ($allowDomains as &$val) {
$val = sprintf((%s), str_replace(".", "\.", $val));
}
$domainStr = sprintf((%s), join("|", $allowDomains));
$pattern = "/^((http://)|(https://)|(//))?([0-9a-zA-Z\._:\-]*[\.@])?" . $domainStr
. "(:[0-9]+)?(/.*)?$/";
if (preg_match($pattern, $url)) {
return true;
} else {
return false;
}
}
var_dump(filterURL("bb.com@test.com")); //true
var_dump(filterURL("test.com@bb.com")); //false
var_dump(filterURL("//test.com")); //true
var_dump(filterURL("http://test.com")); //true
var_dump(filterURL("https://test.com")); //true
var_dump(filterURL("https://test.com:8080/aa.com")); // true
var_dump(filterURL("https://bC.com:N:C@test.com")); //true
var_dump(filterURL("https://a.test.com:8080/aa.com")); // true
var_dump(filterURL("//bb:com@test.com/sss")); // true
var_dump(filterURL("//bb:cc.com@test.com")); // true
var_dump(filterURL("//bb:bb.com@test.com")); // true
var_dump(filterURL("http://test.com")); // true
var_dump(filterURL("https://:test.com")); //false
var_dump(filterURL("https://aA.com?test.com")); //false
var_dump(filterURL("https://aA.com#test.com")); //false
var_dump(filterURL("https://aA.com\test.com")); //false
var_dump(filterURL("javasCript:test.com")); // false
var_dump(filterURL("http://abctest.com")); // false
var_dump(filterURL("http://com:\@test.com")); // false
var_dump(filterURL("http://test.com@aa.com")); // false
var_dump(filterURL("https://test.com:aa.com")); // false
JavaScript版本
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32function filterURL(url){
var allowDomains = ["test.com", "demo.com"];
var domainStr = "", result = [];
for (i = 0; i < allowDomains.length; i++) {
allowDomains[i] = "(" + allowDomains[i].replace(".", "\.") + ")";
}
domainStr = "(" + allowDomains.join("|") + ")";
regStr = new RegExp("^((http://)|(https://)|(//))?([0-9a-zA-Z\._:\-]*[\.@])?" + domainStr + "(:[0-9]+)?(/.*)?$");
result = url.match(regStr);
return !!(result && result[0]);
}
console.log(filterURL("bb.com@test.com")); //true
console.log(filterURL("test.com@bb.com")); //false
console.log(filterURL("//test.com")); //true
console.log(filterURL("http://test.com")); //true
console.log(filterURL("https://test.com")); //true
console.log(filterURL("https://test.com:8080/aa.com")); // true
console.log(filterURL("https://bC.com:N:C@test.com")); //true
console.log(filterURL("https://a.test.com:8080/aa.com")); // true
console.log(filterURL("//bb:com@test.com/sss")); // true
console.log(filterURL("//bb:cc.com@test.com")); // true
console.log(filterURL("//bb:bb.com@test.com")); // true
console.log(filterURL("http://test.com")); // true
console.log(filterURL("https://:test.com")); //false
console.log(filterURL("https://aA.com?test.com")); //false
console.log(filterURL("https://aA.com#test.com")); //false
console.log(filterURL("https://aA.com\test.com")); //false
console.log(filterURL("javasCript:test.com")); // false
console.log(filterURL("http://abctest.com")); // false
console.log(filterURL("http://com:\@test.com")); // false
console.log(filterURL("http://test.com@aa.com")); // false
console.log(filterURL("https://test.com:aa.com")); // false
有經(jīng)驗的程序員不難發(fā)現(xiàn)最核心的代碼就是正則表達式,所以其他語言能很好的移植。最后,請牢記安全無小事,編碼需謹慎。
創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎勵來咯,堅持創(chuàng)作打卡瓜分現(xiàn)金大獎總結
以上是生活随笔為你收集整理的php 域名白名单,域名白名单验证的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: html5 文字转换烟花,HTML5交互
- 下一篇: php.amazeui,AmazeUI