Q&A
サーバーのログをみていたら下記のようなエラーがありました。
PHP Warning: Header may not contain more than a single header, new line detected.
エラー箇所を見てみると
$url = urldecode($_GET[url]);
header("Location: $url");
というものでした。
上記のように当サイトからでない外部のURLでリダイレクトしているようで、そのURLには改行がありました。
たぶん、これがエラーの原因だと思うのですが、外部の人が上記のようにいじることができないようにすることは可能でしょうか?
回答1件
0
ベストアンサー
クエリ文字列でURLを受け渡しする以上、「外部の人が上記のようにいじることができないようにする」ことは不可能です。
セッション変数で受け渡しするか、外部の人がいじることは許容して、URL中に改行がないかチェックするか、くらいです。
また、提示されたスクリプトだとオープンリダイレクトの脆弱性があります。遷移先が、意図したドメインかどうかのチェックを行う必要があります。
ところで、urldecode関数は必要なのでしょうか? $_GETにセットする時点で一度urldecodeされているわけですから、二重にパーセントエンコードすることを想定した形になっているようですが、二重にする必要がありますか?
投稿2017/11/02 14:13
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/11/02 14:35