域名白名单验证

验证域名是否在白名单中是编程时常用到的功能,对安全性有要求的项目中都有该功能。常见的使用场景有登录后回跳,跳转到外站时弹出安全提示等。

  1. 知乎登录后回跳;

    只要有登录的地方就需要用到来源回跳。我们在一个页面www.baidu.com 调用知乎的登录框,登录成功后知乎会回跳到 www.baidu.com 吗?肯定不会。因为 www.baidu.com 不是知乎自己的域名。所以知乎在登录验证成功后会校验这个 Referer 参数(就是 www.baidu.com )。当 Referer 属于知乎或者腾讯(知乎被腾讯收购了)的域名才会跳转。

  2. 跳转到外站时弹出安全提示;

    在QQ邮箱中,当我们点击邮件中的链接,跳转到非腾讯系的网站时都会弹出提示框告诉用户你可能会跳到钓鱼网站。

通过我的测试发现很多知名网站都存在『校验白名单』被绕过的问题。看起来很简单的功能,稍不注意就会给自己埋下大坑。

假设我们的域名白名单为 [a.com,b.com,c.com] ,请求的Referer是https://a.com/group/chengdu?id=678 ,通过代码可以将 Referer 中的前13个字符提取出来,看是否等于https://a.com。很多网站会这样做,但是漏洞百出。如果我们将Referer改为 https://a.com@g.com/group/chengdu?id=678 轻松就能绕过。

真实的情况比上文举例复杂的多,例如域名白名单需要支持所有多级域名,需要支持端口号,需要支持http,https,tcp,ftp等等。

在踏过无数坑之后,我通过正则完美的解决了如上所有问题,希望大家不要再踩我踩过的坑。另外我建议通过我的测试方法测试你的代码是否安全。

PHP版本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
function filterURL($url)
{
$allowDomains = ["test.com", "demo.com"];
foreach ($allowDomains as &$val) {
$val = sprintf((%s), str_replace(".", "\.", $val));
}
$domainStr = sprintf((%s), join("|", $allowDomains));
$pattern = "/^((http://)|(https://)|(//))?([0-9a-zA-Z\._:\-]*[\.@])?" . $domainStr
. "(:[0-9]+)?(/.*)?$/";
if (preg_match($pattern, $url)) {
return true;
} else {
return false;
}
}

var_dump(filterURL("bb.com@test.com")); //true
var_dump(filterURL("test.com@bb.com")); //false
var_dump(filterURL("//test.com")); //true
var_dump(filterURL("http://test.com")); //true
var_dump(filterURL("https://test.com")); //true
var_dump(filterURL("https://test.com:8080/aa.com")); // true
var_dump(filterURL("https://bC.com:N:C@test.com")); //true
var_dump(filterURL("https://a.test.com:8080/aa.com")); // true
var_dump(filterURL("//bb:com@test.com/sss")); // true
var_dump(filterURL("//bb:cc.com@test.com")); // true
var_dump(filterURL("//bb:bb.com@test.com")); // true
var_dump(filterURL("http://test.com")); // true
var_dump(filterURL("https://:test.com")); //false
var_dump(filterURL("https://aA.com?test.com")); //false
var_dump(filterURL("https://aA.com#test.com")); //false
var_dump(filterURL("https://aA.com\test.com")); //false
var_dump(filterURL("javasCript:test.com")); // false
var_dump(filterURL("http://abctest.com")); // false
var_dump(filterURL("http://com:\@test.com")); // false
var_dump(filterURL("http://test.com@aa.com")); // false
var_dump(filterURL("https://test.com:aa.com")); // false

JavaScript版本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
function filterURL(url) {
var allowDomains = ["test.com", "demo.com"];
var domainStr = "", result = [];
for (i = 0; i < allowDomains.length; i++) {
allowDomains[i] = "(" + allowDomains[i].replace(".", "\.") + ")";
}
domainStr = "(" + allowDomains.join("|") + ")";
regStr = new RegExp("^((http://)|(https://)|(//))?([0-9a-zA-Z\._:\-]*[\.@])?" + domainStr + "(:[0-9]+)?(/.*)?$");
result = url.match(regStr);
return !!(result && result[0]);
}
console.log(filterURL("bb.com@test.com")); //true
console.log(filterURL("test.com@bb.com")); //false
console.log(filterURL("//test.com")); //true
console.log(filterURL("http://test.com")); //true
console.log(filterURL("https://test.com")); //true
console.log(filterURL("https://test.com:8080/aa.com")); // true
console.log(filterURL("https://bC.com:N:C@test.com")); //true
console.log(filterURL("https://a.test.com:8080/aa.com")); // true
console.log(filterURL("//bb:com@test.com/sss")); // true
console.log(filterURL("//bb:cc.com@test.com")); // true
console.log(filterURL("//bb:bb.com@test.com")); // true
console.log(filterURL("http://test.com")); // true
console.log(filterURL("https://:test.com")); //false
console.log(filterURL("https://aA.com?test.com")); //false
console.log(filterURL("https://aA.com#test.com")); //false
console.log(filterURL("https://aA.com\test.com")); //false
console.log(filterURL("javasCript:test.com")); // false
console.log(filterURL("http://abctest.com")); // false
console.log(filterURL("http://com:\@test.com")); // false
console.log(filterURL("http://test.com@aa.com")); // false
console.log(filterURL("https://test.com:aa.com")); // false

有经验的程序员不难发现最核心的代码就是正则表达式,所以其他语言能很好的移植。最后,请牢记安全无小事,编码需谨慎。