Санитария для URL, используемого в заголовке: местоположение?

Question

В многоэтапном процессе формы я получаю URL-адрес в виде поля формы.

После обработки мой PHP-скрипт перенаправляет на этот адрес, используя header("Location: ...");

Помимо возможности быть использованными в качестве службы перенаправления для порносайтов для создания безвредных выглядящий ссылки E-Mail ( Open Перенаправление , которая может быть оказана помощь путем сопоставления URL для локального домена) Есть ли какие-либо опасности хакерства / эксплуатации, о которых следует знать в этом процессе?

Одна вещь, которая пришла на ум, - это контрабанда новых строк в URL, которая может открыть возможность отправки произвольных заголовков клиенту.

Answer 1

В старых версиях PHP вам приходилось беспокоиться о внедрении CRLF, которое \ r \ n. Это «уязвимость разделения заголовка ответа». Если вы уберете этих персонажей, вам не о чем беспокоиться. В последней сборке PHP функция header () безопасна и автоматически позаботится о \ r \ n за вас.