分析 WordPress `wp_safe_redirect()` 函数的源码：如何通过 `allowed_redirect_hosts` 过滤器防止开放重定向。

各位观众老爷们，大家好！我是今天的主讲人，江湖人称“代码老司机”。今天咱不飙车，咱来聊聊WordPress里的一个安全问题：开放重定向，以及WordPress官方是如何用wp_safe_redirect() 和 allowed_redirect_hosts 过滤器来保护咱们的网站的。

准备好了吗？老司机要开始带路了！

一、 什么是开放重定向？

想象一下，你辛辛苦苦做了一个网站，用户们都来访问了。突然有一天，有人发现你网站上有一个链接，点击后不是跳转到你网站的其他页面，而是跳转到了一个恶意网站，比如钓鱼网站，或者传播病毒的网站。这就是开放重定向。

简单来说，开放重定向就是一个URL中包含重定向目标，而这个重定向目标又是由用户控制的，攻击者可以通过修改这个URL，将用户重定向到任何他们想让他们去的地方。

开放重定向的危害：

危害类型	详细描述
钓鱼攻击	攻击者将用户重定向到模仿真实网站的虚假网站，诱骗用户输入用户名、密码、信用卡信息等敏感数据。
恶意软件传播	将用户重定向到包含恶意软件下载链接的网站，感染用户的设备。
SEO损害	将用户重定向到垃圾网站，损害网站的搜索引擎排名。
声誉损害	用户因为被重定向到恶意网站而对原网站失去信任。

举个栗子：

假设你的网站是 example.com， 你的某个链接是这样子的：

example.com/redirect.php?url=https://www.google.com

这个 redirect.php 文件的功能就是把用户重定向到 url 参数指定的地址。

如果攻击者把 url 参数改成 https://evil.com，那么用户点击这个链接就会被重定向到 evil.com 这个恶意网站。

二、 wp_safe_redirect() 的作用

WordPress 为了防止开放重定向，提供了一个函数叫做 wp_safe_redirect()。这个函数的作用就是，在执行重定向之前，先检查一下目标URL是否安全。如果目标URL不在允许的白名单里，那么 wp_safe_redirect() 就不会执行重定向，从而保护用户的安全。

三、 wp_safe_redirect() 的源码分析

让我们深入到 WordPress 的源码里，看看 wp_safe_redirect() 是怎么工作的。wp_safe_redirect() 函数位于 wp-includes/functions.php 文件中。

function wp_safe_redirect( $location, $status = 302 ) {
    global $is_IIS;

    $location = wp_sanitize_redirect( $location );

    /**
     * Filters the safe redirect location.
     *
     * @since 3.0.0
     *
     * @param string $location The redirect location.
     * @param int    $status   The redirect status code.
     */
    $location = apply_filters( 'wp_safe_redirect', $location, $status );

    $status = absint( $status );
    if ( $status < 300 || $status > 399 ) {
        $status = 302;
    }

    if ( wp_redirect( $location, $status ) ) {
        exit;
    }

    return false;
}

我们可以看到，wp_safe_redirect() 函数主要做了以下几件事：

1. wp_sanitize_redirect( $location ): 首先，它调用 wp_sanitize_redirect() 函数来清理和验证URL。wp_sanitize_redirect() 会移除URL中的一些不安全字符，例如换行符和回车符。这有助于防止一些简单的攻击，比如HTTP Header Injection。

   function wp_sanitize_redirect( $location ) {
       $location = preg_replace( "/[rnt ]+/", '', $location );
       return $location;
   }

2. apply_filters( 'wp_safe_redirect', $location, $status ): 然后，它应用了一个名为 wp_safe_redirect 的过滤器。这个过滤器允许开发者修改重定向的URL。但是，更重要的是，它允许开发者自定义安全检查逻辑。这是防止开放重定向的关键。

3. wp_redirect( $location, $status ): 最后，如果URL通过了安全检查，wp_safe_redirect() 就会调用 wp_redirect() 函数来执行重定向。

四、 allowed_redirect_hosts 过滤器的作用

wp_safe_redirect() 函数的核心安全机制在于 wp_safe_redirect 过滤器。而 wp_safe_redirect 过滤器又依赖于 wp_validate_redirect() 函数，这个函数会检查URL是否在允许的白名单中。

WordPress 默认的白名单只包含当前网站的域名。但是，我们可以使用 allowed_redirect_hosts 过滤器来添加额外的域名到白名单中。

让我们看看 wp_validate_redirect() 函数的源码：

function wp_validate_redirect( $location, $default = '' ) {
    $location = wp_sanitize_redirect( $location );

    // If using an absolute path, ensure the domain is whitelisted.
    if ( preg_match( '#^w+://#', $location ) ) {
        $parsed_url = wp_parse_url( $location );
        if ( ! isset( $parsed_url['host'] ) ) {
            return $default;
        }

        $allowed_hosts   = apply_filters( 'allowed_redirect_hosts', array( wp_parse_url( home_url(), PHP_URL_HOST ) ) );
        $allowed_hosts   = array_map( 'strtolower', $allowed_hosts );
        $current_host    = strtolower( $parsed_url['host'] );

        if ( ! in_array( $current_host, $allowed_hosts, true ) ) {
            return $default;
        }
    }

    return $location;
}

我们可以看到，wp_validate_redirect() 函数主要做了以下几件事：

1. wp_sanitize_redirect( $location ): 再次清理URL。
2. preg_match( '#^w+://#', $location ): 检查URL是否是绝对路径。如果是绝对路径，才进行域名白名单检查。
3. apply_filters( 'allowed_redirect_hosts', array( wp_parse_url( home_url(), PHP_URL_HOST ) ) ): 应用 allowed_redirect_hosts 过滤器，获取允许的域名白名单。默认情况下，白名单只包含当前网站的域名。
4. in_array( $current_host, $allowed_hosts, true ): 检查URL的域名是否在白名单中。如果不在白名单中，就返回默认URL。

五、 如何使用 allowed_redirect_hosts 过滤器

要使用 allowed_redirect_hosts 过滤器，你需要在你的 WordPress 主题的 functions.php 文件或者一个自定义插件中添加以下代码：

add_filter( 'allowed_redirect_hosts', 'my_allowed_redirect_hosts' );

function my_allowed_redirect_hosts( $allowed_hosts ) {
    $allowed_hosts[] = 'www.google.com';
    $allowed_hosts[] = 'example.net';
    return $allowed_hosts;
}

这段代码的作用是，将 www.google.com 和 example.net 添加到允许的域名白名单中。

重要提示： 添加域名到白名单时要非常小心。只添加你信任的域名。

六、 实战演练：防止开放重定向

现在，让我们通过一个实战演练来演示如何使用 wp_safe_redirect() 和 allowed_redirect_hosts 过滤器来防止开放重定向。

假设我们有一个 redirect.php 文件，它的功能是根据 url 参数的值来重定向用户。

不安全的 redirect.php：

<?php
$url = $_GET['url'];
header("Location: " . $url);
exit;
?>

这个 redirect.php 文件没有任何安全检查，存在严重的开放重定向漏洞。

安全的 redirect.php：

<?php
require_once( dirname( __FILE__ ) . '/../../../wp-load.php' ); // 加载 WordPress 环境

$url = $_GET['url'];

if ( ! empty( $url ) ) {
    $redirect_url = wp_safe_redirect( $url );

    if ( $redirect_url ) {
        exit;
    } else {
        // 重定向失败，可以显示一个错误信息或者跳转到默认页面
        wp_die( 'Invalid redirect URL.' );
    }
} else {
    // 如果没有提供 URL 参数，可以跳转到默认页面
    wp_redirect( home_url() );
    exit;
}
?>

在这个安全的 redirect.php 文件中，我们使用了 wp_safe_redirect() 函数来执行重定向。wp_safe_redirect() 会检查 url 参数的值是否安全。如果 url 参数的值不在允许的白名单中，wp_safe_redirect() 就不会执行重定向，从而保护用户的安全。

添加 allowed_redirect_hosts 过滤器的代码：

add_filter( 'allowed_redirect_hosts', 'my_allowed_redirect_hosts' );

function my_allowed_redirect_hosts( $allowed_hosts ) {
    $allowed_hosts[] = 'www.google.com';
    $allowed_hosts[] = 'example.net';
    return $allowed_hosts;
}

将这段代码添加到你的 WordPress 主题的 functions.php 文件或者一个自定义插件中。

现在，如果用户访问 example.com/redirect.php?url=https://www.google.com，他们会被成功重定向到 www.google.com。但是，如果用户访问 example.com/redirect.php?url=https://evil.com，他们将不会被重定向，而是会看到一个错误信息。

七、 总结

通过使用 wp_safe_redirect() 函数和 allowed_redirect_hosts 过滤器，我们可以有效地防止 WordPress 网站的开放重定向漏洞。

记住以下几点：

• 永远不要信任用户输入的数据。
• 在使用 wp_safe_redirect() 函数之前，一定要确保加载了 WordPress 环境。
• 只添加你信任的域名到 allowed_redirect_hosts 白名单中。
• 定期检查你的网站是否存在开放重定向漏洞。

八、 额外提示：除了域名白名单，还有什么能做的？

虽然域名白名单是防止开放重定向的重要手段，但它并不是万能的。攻击者可能会找到绕过白名单的方法。因此，我们还需要采取其他措施来增强安全性。

• 使用相对URL： 如果可能，尽量使用相对URL进行重定向，而不是绝对URL。相对URL只包含路径信息，不包含域名信息，因此可以避免域名白名单的限制。
• 验证URL格式： 在执行重定向之前，验证URL的格式是否正确。例如，可以使用正则表达式来检查URL是否符合标准的URL格式。
• 使用Hash签名： 可以使用Hash签名来验证URL的完整性。在生成URL时，将URL和一些秘密信息一起计算出一个Hash值，并将Hash值附加到URL中。在执行重定向之前，重新计算URL的Hash值，并与URL中携带的Hash值进行比较。如果两个Hash值不匹配，说明URL被篡改过，应该拒绝重定向。

九、 代码安全永远在路上

安全是一个持续的过程，而不是一个一次性的任务。我们需要不断学习新的安全知识，并定期检查我们的网站是否存在安全漏洞。

希望今天的讲座对大家有所帮助。记住，代码安全，人人有责！

各位观众老爷们，下次再见！