Browse Source

sanitizer les URLs de redirection au cas ou (beaucoup de conditions pour arriver la et que ce soit effectivement nocif, mais bon)

pull/9/head
Cerdic 1 year ago
parent
commit
0b832408b0
1 changed files with 4 additions and 0 deletions
  1. +4
    -0
      ecrire/inc/headers.php

+ 4
- 0
ecrire/inc/headers.php View File

@@ -55,6 +55,10 @@ function redirige_par_entete($url, $equiv = '', $status = 302) {

// ne pas laisser passer n'importe quoi dans l'url
$url = str_replace(array('<', '"'), array('&lt;', '&quot;'), $url);
$url = str_replace(array("\r", "\n", ' '), array('%0D', '%0A', '%20'), $url);
while (strpos($url, '%0A') !== false) {
$url = str_replace('%0A', '', $url);
}
// interdire les url inline avec des pseudo-protocoles :
if (
(preg_match(",data:,i", $url) and preg_match("/base64\s*,/i", $url))


Loading…
Cancel
Save