Wordpress插件造成HTTP响应拆分漏洞解决办法

今天感冒了,各种的难受!精神很差,效率也很低!

休息一下,玩玩360网站安全检测,提示哥网站存在HTTP响应拆分漏洞,又称CRLF注入攻击漏洞

漏洞地址:https://yangjunwei.com/?r=xxxxx

wodpress应该不会有此漏洞,可能是插件造成的,于是全文搜索“$_GET['r']”代码,发现真的是存在于自己写的一个关于评论方面的插件里,功能是开启外站网址使用上述跳转代码,而且并未做完善的过滤,补充完善后的代码如下:

$redirect = $_GET['r'];
$redirect = trim($redirect);
$redirect = strip_tags($redirect,""); //清除HTML如<br />等代码
$redirect = ereg_replace("\t","",$redirect); //去掉制表符号
$redirect = ereg_replace("\r\n","",$redirect); //去掉回车换行符号
$redirect = ereg_replace("\r","",$redirect); //去掉回车
$redirect = ereg_replace("\n","",$redirect); //去掉换行
$redirect = ereg_replace(" ","",$redirect); //去掉空格
$redirect = ereg_replace("'","",$redirect); //去掉单引号

有句话很实在:不要轻易相信用户提交的数据!