هنگامی که می‌خواهیم کاربر را به صفحه‌ای دیگر هدایت کنیم، می‌بایست اطمینان به دست آوریم که نشانی مقصد، معتبر است و آن چیزی است که ما انتظار آن را داریم. برای مثال هنگامی فرض کنید سایتی داریم که کاربر برای دسترسی به بخشی از آن می‌بایست در سایت وارد شده باشد. طبیعی است که در چنین مواقعی ممکن است بخواهیم کاربر را به صورت خودکار به صفحه‌ی ورود هدایت کنیم و علاوه بر آن مشخص کنیم که پس از ورود به کدام صفحه بازگشت پیدا کند.

لاراول

در این مواقع معمولا آدرس صفحه‌ی فعلی را به صفحه‌ی ورود ارسال می‌کنیم تا در صورت موفقیت ورود، به همین صفحه هدایت شود.

اگر اصول امنیتی لازم در این فرآیند رعایت نشود، افراد خرابکار ممکن است کاربر را از جایی خارج از سایت به صفحه‌ی ورود ما هدایت کنند و آدرس بازگشت را صفحه‌ای خارج از سایت ما قرار دهند. انجام این کار می‌تواند باعث فریب دادن کاربر و دریافت اطلاعات حساس از او شود. زیرا تصور می‌کند که پس از ورود به سایت ما وارد شده است.

برای جلوگیری از این رخداد، با کمک تابع زیر، قبل از هدایت کاربر می‌توانیم بررسی کنیم که آیا نشانی صفحه‌ی مقصد، با دامنه‌ی سایت فعلی یکسان است یا نه…

function urls_in_same_domain( $url1, $url2 ) {
$domain1 = strtolower( parse_url( $url1, PHP_URL_HOST ) );
$domain2 = strtolower( parse_url( $url2, PHP_URL_HOST ) );
return ( $domain1 == $domain2 );
}

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *