深入解读 WordPress `wp_safe_redirect()` 函数源码：如何利用 `wp_redirect_location` 过滤器增强安全性。

各位观众老爷们，大家好！今天咱们来聊聊WordPress里一个看似不起眼，实则关系网站安全的家伙——wp_safe_redirect()。别看它名字里带个“safe”，不了解它，也可能被坑。更重要的是，咱们要学会用好它的好基友 wp_redirect_location 过滤器，让我们的网站更安全。

开场白：重定向的那些事儿

在网页世界里，重定向就是让用户从一个URL“嗖”的一下跳到另一个URL。这事儿很常见，比如：

• 网站改版，旧URL指向新URL。
• 用户登录后，从登录页跳到个人中心。
• 电商网站，把用户从商品页面跳到购物车。

WordPress提供了 wp_redirect() 函数来做这件事，简单粗暴。但是！注意这个“但是”，wp_redirect() 过于自由奔放，容易被坏人利用，搞成钓鱼网站或者其他恶意跳转。所以，WordPress才有了更靠谱的 wp_safe_redirect()。

第一幕：wp_safe_redirect() 源码解析

咱们先来看看 wp_safe_redirect() 的源码，看看它到底“safe”在哪儿。 (以下基于WordPress 6.x版本)

function wp_safe_redirect( $location, $status = 302, $x_redirect_by = 'WordPress' ) {
    $location = wp_sanitize_redirect( $location );

    /**
     * Filters the safe redirect location.
     *
     * @since 3.0.0
     *
     * @param string $location The redirect location.
     * @param int    $status   The HTTP response status code.
     */
    $location = apply_filters( 'wp_safe_redirect_redirect', $location, $status );

    /**
     * Filters the URI scheme allowed in safe redirects.
     *
     * @since 4.7.0
     *
     * @param array $allowed_schemes Array of allowed URI schemes.
     */
    $allowed_schemes = apply_filters( 'wp_safe_redirect_allowed_schemes', array( 'http', 'https', 'relative' ) );

    $parsed_url = wp_parse_url( $location );

    if ( isset( $parsed_url['scheme'] ) && ! in_array( $parsed_url['scheme'], (array) $allowed_schemes, true ) ) {
        return false;
    }

    if ( wp_validate_redirect( $location ) ) {
        wp_redirect( $location, $status, $x_redirect_by );
        exit;
    }

    return false;
}

代码不长，咱们一句一句拆解：

1. $location = wp_sanitize_redirect( $location );

   首先，它用 wp_sanitize_redirect() 对 $location 进行了清理。这个函数会移除一些可能造成安全问题的字符，例如换行符，防止HTTP header injection。

   function wp_sanitize_redirect( $location ) {
       $location = preg_replace( "/(%0[Aa]|n|r)/is", '', $location );
       return $location;
   }

2. apply_filters( 'wp_safe_redirect_redirect', $location, $status );

   重点来了！这里用到了一个过滤器 wp_safe_redirect_redirect。这个过滤器允许开发者在重定向发生前，对 $location 进行最后的修改。比如，你可以用它来记录重定向事件，或者根据某些条件改变重定向目标。这个是后文要重点讲的，先留个印象。

3. apply_filters( 'wp_safe_redirect_allowed_schemes', array( 'http', 'https', 'relative' ) );

   这里又是一个过滤器！wp_safe_redirect_allowed_schemes 允许你定义允许的URL scheme。默认情况下，只允许 http、https 和 relative (相对路径) 。这意味着，如果你想重定向到 ftp://example.com，默认是不允许的。

4. $parsed_url = wp_parse_url( $location );

   用 wp_parse_url() 解析URL，方便后续检查scheme是否合法。

5. if ( isset( $parsed_url['scheme'] ) && ! in_array( $parsed_url['scheme'], (array) $allowed_schemes, true ) ) { return false; }

   检查URL的scheme是否在允许的列表中，如果不在，直接返回 false，阻止重定向。

6. if ( wp_validate_redirect( $location ) ) { wp_redirect( $location, $status, $x_redirect_by ); exit; }

   用 wp_validate_redirect() 进一步验证 $location 是否合法。如果验证通过，就调用 wp_redirect() 进行重定向，然后 exit; 结束脚本的执行。注意，wp_validate_redirect() 也使用了一些白名单机制，保证重定向目标是站内或可信的外部URL。

7. return false;

   如果前面的验证都没通过，就返回 false，表示重定向失败。

第二幕：wp_redirect_location 过滤器的妙用

现在，咱们把目光聚焦到 wp_redirect_location 过滤器上。为什么它这么重要？因为它给了我们一个机会，在重定向发生前，对目标URL进行最后一道安全检查，或者进行一些自定义处理。

• wp_redirect_location vs wp_safe_redirect_redirect: 注意，wp_redirect_location是wp_redirect()函数中的过滤器，而wp_safe_redirect_redirect是wp_safe_redirect()中的过滤器。虽然名字很像，但是作用域不同。我们这里主要讨论wp_safe_redirect_redirect。

咱们来看几个实际的例子：

例子1：记录重定向事件

假设你想记录每次重定向的来源、目标和时间，可以这样写：

add_filter( 'wp_safe_redirect_redirect', 'my_log_redirect', 10, 2 );

function my_log_redirect( $location, $status ) {
    $referrer = isset( $_SERVER['HTTP_REFERER'] ) ? $_SERVER['HTTP_REFERER'] : 'Unknown';
    $log_message = sprintf(
        "Redirected from: %s to: %s with status: %d at: %sn",
        $referrer,
        $location,
        $status,
        date( 'Y-m-d H:i:s' )
    );
    error_log( $log_message ); // 写入错误日志
    return $location; // 必须返回 $location，否则重定向会失败
}

这段代码会在每次调用 wp_safe_redirect() 时，把重定向信息写入WordPress的错误日志。你可以根据自己的需求，把日志写入数据库或者其他地方。

例子2：增强安全性，防止开放重定向

开放重定向是指允许用户控制重定向的目标URL。这是一种潜在的安全漏洞，可能被用于钓鱼攻击。我们可以用 wp_safe_redirect_redirect 过滤器来增强安全性，只允许重定向到我们信任的域名。

add_filter( 'wp_safe_redirect_redirect', 'my_safe_redirect', 10, 2 );

function my_safe_redirect( $location, $status ) {
    $allowed_domains = array(
        'example.com',
        'www.example.com',
        home_url(), // 允许重定向到本站
    );

    $parsed_url = wp_parse_url( $location );

    if ( isset( $parsed_url['host'] ) && ! in_array( $parsed_url['host'], $allowed_domains ) ) {
        // 如果目标域名不在白名单中，重定向到首页
        return home_url();
    }

    return $location;
}

这段代码会检查重定向的目标域名是否在 $allowed_domains 列表中。如果不在，就强制重定向到网站首页，防止恶意跳转。

例子3：根据用户角色重定向

有时候，我们希望根据用户的角色，把他们重定向到不同的页面。比如，管理员登录后跳到后台，普通用户登录后跳到个人中心。

add_filter( 'wp_safe_redirect_redirect', 'my_redirect_by_role', 10, 2 );

function my_redirect_by_role( $location, $status ) {
    if ( is_user_logged_in() ) {
        $user = wp_get_current_user();
        if ( in_array( 'administrator', (array) $user->roles ) ) {
            // 管理员重定向到后台
            return admin_url();
        } else {
            // 其他用户重定向到个人中心
            return get_permalink( get_option('woocommerce_myaccount_page_id') ); // WooCommerce个人中心
        }
    }
    return $location;
}

这段代码会检查当前用户是否登录，以及用户的角色。如果是管理员，就重定向到后台；否则，重定向到个人中心。（这里假设你使用了WooCommerce，并且设置了个人中心页面。）

第三幕：wp_safe_redirect_allowed_schemes 过滤器的扩展

虽然 wp_safe_redirect() 默认只允许 http、https 和 relative scheme，但我们可以用 wp_safe_redirect_allowed_schemes 过滤器来添加更多允许的scheme。

例子：允许重定向到 mailto: 链接

add_filter( 'wp_safe_redirect_allowed_schemes', 'my_allow_mailto_scheme' );

function my_allow_mailto_scheme( $schemes ) {
    $schemes[] = 'mailto';
    return $schemes;
}

这段代码会在允许的scheme列表中添加 mailto。这样，你就可以用 wp_safe_redirect() 重定向到 mailto:[email protected] 链接了。（注意：mailto: 链接实际上不是一个重定向，而是浏览器打开邮件客户端的行为。这里只是为了演示如何扩展 wp_safe_redirect_allowed_schemes。）

第四幕：最佳实践和注意事项

• 永远使用 wp_safe_redirect() 代替 wp_redirect(): 除非你真的清楚自己在做什么，否则永远应该使用 wp_safe_redirect()，因为它更安全。
• 对用户输入进行严格验证: 如果重定向目标URL来自用户输入，一定要进行严格的验证和清理，防止恶意注入。
• 小心相对路径: 虽然 wp_safe_redirect() 允许相对路径，但要确保相对路径是正确的，避免跳转到意料之外的页面。
• 测试！测试！再测试！: 在生产环境部署之前，一定要充分测试你的重定向逻辑，确保一切正常。
• 了解 wp_validate_redirect() 的工作原理: wp_validate_redirect() 函数也扮演着重要的安全角色。它会检查URL是否是站内链接，或者在白名单中。了解它的工作原理，可以帮助你更好地理解 wp_safe_redirect() 的安全性。

wp_validate_redirect() 源码分析

function wp_validate_redirect( $location, $default = '' ) {
    $location = wp_sanitize_redirect( $location );

    if ( ! $location ) {
        return $default;
    }

    /*
     * Prevent multiple slashes from breaking the redirect.
     * Ensure the content directory is set correctly.
     */
    $content_url = untrailingslashit( content_url() );
    $site_url    = untrailingslashit( site_url() );

    if ( strpos( $location, '..' ) !== false ) {
        return $default;
    }

    if ( ! empty( $default ) ) {
        $default = wp_sanitize_redirect( $default );
        if ( ! wp_is_url_in_domain( $default, array( $site_url, $content_url ) ) ) {
            $default = '';
        }
    }

    if ( wp_is_url_in_domain( $location, array( $site_url, $content_url ) ) ) {
        return $location;
    }

    return $default;
}

这个函数主要做了以下几件事：

1. 清理URL: 使用wp_sanitize_redirect()清理URL，移除不安全字符。
2. 检查双点 (..): 阻止包含..的URL，防止目录遍历攻击。
3. 检查域名: 使用wp_is_url_in_domain()函数检查URL是否属于站点域名或者内容目录域名。

wp_is_url_in_domain() 源码分析

function wp_is_url_in_domain( $url, $domains = null ) {
    if ( ! is_string( $url ) || empty( $url ) ) {
        return false;
    }

    $parsed_url = wp_parse_url( $url );
    if ( empty( $parsed_url ) || empty( $parsed_url['host'] ) ) {
        return false;
    }

    $domains = (array) $domains;

    if ( empty( $domains ) ) {
        return false;
    }

    foreach ( $domains as $domain ) {
        // Normalize domain.
        $domain = strtolower( wp_strip_all_tags( $domain ) );

        if ( empty( $domain ) ) {
            continue;
        }

        // Remove scheme from domain.
        $domain = preg_replace( '#^http(s)?://#', '', $domain );

        // Get host of domain.
        $parsed_domain = wp_parse_url( $domain );
        if ( ! empty( $parsed_domain['host'] ) ) {
            $domain = $parsed_domain['host'];
        }

        // Don't allow comparison of IDN domains that are not punycode encoded.
        if ( seems_utf8( $domain ) ) {
            $domain = idn_to_ascii( $domain );
        }

        /*
         * The url is in the domain if:
         * - The url host exactly matches the domain.
         * - The url host is a subdomain of the domain.
         */
        if ( strtolower( $parsed_url['host'] ) === $domain || substr( strtolower( $parsed_url['host'] ), - ( strlen( $domain ) + 1 ) ) === '.' . $domain ) {
            return true;
        }
    }

    return false;
}

这个函数的主要作用是检查给定的URL是否在指定的域名列表中。 它执行以下步骤：

1. 解析URL: 使用wp_parse_url()解析URL，获取host。
2. 域名规范化: 对比域名进行规范化，包括去除协议头，转换为小写等。
3. 子域名检查: 检查URL的host是否是给定域名的子域名。

第五幕：总结

wp_safe_redirect() 是WordPress提供的更安全的重定向函数，它通过清理URL、限制允许的scheme和验证域名，防止恶意跳转。wp_safe_redirect_redirect 和 wp_safe_redirect_allowed_schemes 过滤器则为我们提供了自定义重定向逻辑和扩展允许scheme的机会。

但是，记住，安全是一个持续的过程，而不是一个终点。仅仅使用 wp_safe_redirect() 并不能保证你的网站绝对安全。你还需要对用户输入进行严格验证，定期检查你的代码，及时更新WordPress版本和插件，才能最大程度地保护你的网站。

今天的讲座就到这里，希望大家有所收获！ 感谢各位观众老爷！