php parse

tech2022-12-26  99

$host = parse_url($url, PHP_URL_HOST); if (!in_array($host, [ 'xxx.xxx', ]))

已知这种检验,判断url的host是否在白名单中,此时可以通过http://www.baidu.com@xxx.xxx这种方式绕过,http://www.baidu.com@xxx.xxx解析host为xxx.xxx,而当浏览器访问这个网站时,\符号会变成/符号,导致绕过。

最新回复(0)