リダイレクト

Transcript

1. ϦμΠϨΫτॲཧʹ·ͭΘΔ੬ऑੑ Rui Arai

2. ϦμΠϨΫτͱ͸ɻ

3. ϦμΠϨΫτͱ͸ɻ • ಛఆͷϖʔδ͔Βผͷϖʔδʹసૹ͢Δ͜ͱ

4. ࠓճͷઅͰ͸ ΦʔϓϯϦμΠϨΫλ੬ऑੑ HTTPϔομɾΠϯδΣΫγϣϯ

5. ΦʔϓϯϦμΠϨΫλ੬ऑੑʹ͍ͭͯ

6. ΦʔϓϯϦμΠϨΫλ੬ऑੑͱ͸ • ೚ҙͷυϝΠϯʹϦμΠϨΫτͰ͖Δ΋ͷΛΦʔ ϓϯϦμΠϨΫλͱݺͼɺͦͷ੬ऑੑΛࢦ͢

7. ΦʔϓϯϦμΠϨΫλ੬ऑੑͱ͸ • ྫ https://example.jp/login.php?url=http://trap.example./com ্هͷURLʹΑΓةݥͳαΠτ΁༠ಋ͞ΕΔ ϒϩά΍ϝʔϧͰӾཡ͢ΔΑ͏ʹ࢓޲͚·͢

8. ੬ऑੑ͕ੜ·ΕΔݪҼ ϦμΠϨΫτઌͷURLΛ֎෦͔ΒࢦఆͰ͖Δ ϦμΠϨΫτઌͷυϝΠϯνΣοΫ͕ͳ͍

9. ରࡦ • ϦμΠϨΫτઌͷURLΛݻఆʹ͢Δɻ ɹˠݻఆͷURLʹ͢Δ • ϦμΠϨΫτઌͷURLΛ௚઀ࢦఆͤͣ൪߸ࢦఆʹ͢Δɻ ɹˠϖʔδ൪߸Λࢦఆ͠ɺURL΁ඈ͹͢ • ϦμΠϨΫτઌͷυϝΠϯΛνΣοΫ͢Δɻ ɹˠ࣍΁

   • ΫογϣϯϖʔδΛ෇͚Δ

10. ϦμΠϨΫτઌͷυϝΠϯνΣοΫ • ๬·͍͠ॻ͖ํ if (mb_ereg('\Ahttps?://example\.jp/[-_.!~*\'();\/?:@&=+\$,$#a-zA-Z0-9]*\z', $url)) { // νΣοΫOK }

    • "http://example.jp/" ·ͨ͸ "https://example.jp/" Ͱ࢝·Δ͜ͱ • จࣈྻͷઌ಄ɾ຤ඌΛࣔ͢ه߸ͱͯ͠ "\A" ͱ "\z" Λ࢖༻ • "https?" ͸httpͱhttpsͷ྆ํʹରԠ͢Δ

11. HTTPϔομɾΠϯδΣΫγϣϯ

12. HTTPϔομͷछྨ • Ϩεϙϯεϔομ • ϦΫΤετϔομ

13. Ϩεϙϯεϔομ ϑΟʔϧυ໊ ಺༰ Server ΢Σϒαʔόͷ໊લͱόʔδϣϯ৘ใɻ Date ݱࡏͷ೔෇ʢάϦχοδඪ४࣌ʣ Last-Modified Ϧιʔεͷߋ৽೔ Content-Length

    ग़ྗͷόΠτ୯Ґͷ௕͞ όΠφϦσʔλ΋ؚΈ·͢ɻ Content-Type ग़ྗͷMIMEλΠϓ Expires Ϧιʔεͷ༗ޮظݶ ͜ͷ೔෇Ҏ߱͸ແޮͰ͢ɻΩϟογϡ͸ഁ Location ϦμΠϨΫτ URL ৘ใ Location Ͱࢦఆ͞ΕͨϦιʔε͕ૹ৴͞Ε· Pragma ϦιʔεͷΩϟογϯάΛ༗ޮ/ແޮʹ͢ Δ Status ϦΫΤετͷεςʔλε ୯ಠϔομͱͯ͠ग़ྗ͞Ε·͢ɻ WWW-Authenticate ೝূσʔλɻ ೝূʹඞཁͳϢʔβʔ໊΍ύεϫʔυͳͲ Refresh ࢦఆ͞ΕͨυΩϡϝϯτΛ࠶ϩʔυ͢ Δɻ Set-Cookie σʔλΛΫϥΠΞϯτଆʹอଘ͢Δɻ Etag αʔόʔݻ༗ͷ৘ใ͕෇༩͞Εɺϒϥ΢β ΩϟογϡΛ࠶ར༻͢Δ͔Ͳ͏͔൑அͤ͞

14. HTTPϔομΠϯδΣΫγϣϯͱ͸ <?php header('Location: ' . $_GET['url']); ͜ΕʹΑΓੜ੒͞ΕΔHTTPϨεϙϯεϔομ͸ҎԼͱͳΓ·͢ɻ Location: http://example/top.php Set-Cookie:

    PHPSESSID=ABC http://example.jp/header.php?url=http://example/top.php%0d%0aSet-Cookie:+PHPSESSID%3DABC ։ൃऀͷҙਤ͠ͳ͍Ϩεϙϯε͕ग़ྗ͞ΕΔ ྫʣηογϣϯݻఆ߈ܸͳͲ

15. ੬ऑੑ͕ੜ·ΕΔݪҼ • URL΍Cookieʹվߦؚ͕·Εͯ͠·͏͜ͱͰɺى͜Δ੬ऑੑ

16. ରࡦ • ֎෦͔ΒͷύϥϝʔλΛϨεϙϯεϔομͱͯ͠ग़ྗ͠ͳ͍ • ҎԼͷ2ͭΛ࣮ࢪ͢Δ >ϦμΠϨΫτ΍ΫοΩʔੜ੒ઐ༻APIʹ೚ͤΔ >ϔομੜ੒͢ΔύϥϝʔλͷվߦΛνΣοΫ ɹྫʣվߦίʔυ͸Τϥʔʹ͢Δ౳

17. ݁࿦ • ϦμΠϨΫτॲཧʹ͸ɺͰ͖Δ͚ͩઐ༻ͷAPIΛ࢖͏ • ϦμΠϨΫτઌ͸ݻఆ͢Δ • ֎෦͔Βࢦఆ͢ΔϦμΠϨΫτ͸ඞͣɺจࣈछͱυϝΠϯ໊ΛνΣοΫ͢Δ