Laravel 的路由参数被注入 HTML 代码，页面展示恶意外链？以 Dcat Admin 为例看我是如何解决！

laravel_peng 的个人博客 / 5 / 6 / 创建于 2年前 / 更新于 2年前

背景

最近上线的项目比较多，而且上线前必须经过几轮漏扫才能符合要求。
好难受，这次还是被攻击了，辛辛苦苦做一个项目，却总会被认定为 易受攻击对象 。
没办法，做项目和做工程一样，安全第一☝，生产第二！！！
话不多说，扶我起来，我还能再坚持一下…

问题描述

1. 问题还原

通过修改路由参数值，就可以注入，你想注入的任何内容。
小试牛刀 - 将路由参数的值变为 1'，页面居然能正常展示，如 事发现场一 所示。

大刀阔斧 - 将路由参数的值变为长的 HTML 如 事发现场二 所示：

http://xxxxx.test/admin/merchants/1'11%22%3E%3Ca%20href=https:%5c%5cwww.baidu.com%3E%E8%B7%B3%E8%BD%AC%E5%88%B0%E4%B8%BB%E9%A1%B5%3Cp%3Ehttp:%5c%5coca-to-guoquan-delivery.test%3Cinput%20%20hidden='true'%20/edit

2. 事发现场一：

将路由参数的值变为 1'，页面居然能正常展示：

3. 事发现场二：

页面被注入了 HTML 代码，并且可以展示恶意外链：

如何解决呢？

既然被注入了一些 奇奇怪怪 的内容，那我们就应该想办法把它给屏蔽掉。正所谓取其精华，去其糟粕。
Laravel 有一个路由参数的正则表达式约束功能，可以限制路由参数值的格式。芜湖~，此乃正解！！！

具体方式

正则表达式约束看官方文档示例：

Route::get('/user/{name}', function (string $name) {
  // ...
})->where('name', '[A-Za-z]+');
Route::get('/user/{id}', function (string $id) {
  // ...
})->where('id', '[0-9]+');
Route::get('/user/{id}/{name}', function (string $id, string $name) {
  // ...
})->where(['id' => '[0-9]+', 'name' => '[a-z]+']);

这里有一个问题，官方文档上描述的都是，关于单路由的 - 路由参数的正则限定。可我的代码里面 resources 资源路由居多，这我该怎么办？
哎呀，不行，头有点痒，要长脑子了。 批量、全局 等词汇浮现在脑海，我悟了…

全局设置一下，参数名称限制全局约束：

你应该在 App\Providers\RouteServiceProvider 类的 boot 方法中定义这些模式：
/**
* 定义路由模型绑定、模式筛选器等。
*/
public function boot(): void
{
     Route::pattern('id', '[0-9]+');
}

一通操作后，我发现不行。好像这个不管作用，事发现场一 和 事发现场二 照样没有得到改善。
Dcat Admin 的路由文件是 app/Admin/routes.php 路径下的，而不是 routes/xxx.php 的。会不会是因为这个原因导致的。

于是乎我在 app/Admin/routes.php 文件中增加关键代码：

// ####---- 商户管理 - 商户列表
// 为什么是 pattern 的第一个参数是： merchant，可以通过命令行  php artisan route:list 查看
Route::pattern('merchant', '[0-9]+');    // 关键代码
$router->resource('merchants', Merchant\MerchantController::class);

最终 事发现场一 和 事发现场二 得到妥善解决。Nice ！！

总结

HTML 注入路由参数中，可以通过 Laravel 自带的正则表达式约束进行约束。
如果路由多为 resources 资源路由，可以通过 全局约束 来约束，无需拆分资源路由。
如果全局约束不可以，可将 关键代码 放置到对应的路由文件中。
一般项目 resources 资源路由会很多，所以要批量维护，添加多条即可。

疑问

为什么在 App\Providers\RouteServiceProvider 类的 boot 方法添加关键方法，对在 app/Admin/routes.php 路由不行呢？

/**
* 定义路由模型绑定、模式筛选器等。
*/
public function boot(): void
{
     Route::pattern('id', '[0-9]+');
}

有知道的朋友，可以在评论区讨论。谢谢！！！

Dcat Admin HTML注入路由正则表达式约束全局约束

本作品采用《CC 协议》，转载必须注明作者和本文链接

Xiao Peng

版主 911 声望

技术员 @ 修炼的漱石

保持学习的状态！

《L05 电商实战》

从零开发一个电商项目，功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等

《L04 微信小程序从零到发布》

从小程序个人账户申请开始，带你一步步进行开发一个微信小程序，直到提交微信控制台上线发布。

推荐文章：

更多推荐...

Dcat-Plus-Admin：dcat-admin框架的超级增强版，开发效率提升200%！ 15 / 16 |

花了四个月打磨的 Laravel Plus 开源 34 / 101 |

[求职] 重生之不再做PHP 12 / 83 |

dcat-admin多应用后台高效实现免密登陆其它后台 25 / 12 |

推荐六个超实用的网站 26 / 12 |

实现dcat-admin的双菜单风格( 顶部+左侧) 12 / 11 |

讨论数量: 6

MZ0x01

119 声望

页面上只展示经过 Controller 处理过的数据，即时是 id 也是处理过滤过重新再给 view，不要直接在界面上展示用户输入的数据

2年前评论

laravel_peng （楼主）

是的，页面展示的内容都是需要过滤的。主要是我用的是现成的框架，有些内容是人家写好的，所以会出现这种问题。

MZ0x01 （作者）

@laravel_peng 这种可以直接提给框架作为issue，应该算是安全问题

deatil

见习助教 779 声望

在 RouteServiceProvider 添加不起作用是因为这里的加载在dcat加载之后吧，所以看起来没效果

2年前评论

laravel_peng （楼主）

这个得看一下源码，嗨，看源码是我的一个暂时无法逾越的障碍哟。简单的是可以追溯到的!

deatil （作者）

@laravel_peng 可以在注册方法里用Admin::booting()方法添加，该说没有问题

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容，与人为善，比聪明更重要！

帮助

技术员 @ 修炼的漱石

私信

文章归档

1 篇 2023 年 7 月 1 篇 2022 年 6 月 4 篇 2022 年 5 月 1 篇 2022 年 4 月 3 篇 2022 年 3 月

2年前 Laravel 的路由参数被注入 HTML 代码，页面展示恶意外链？以 Dcat Admin 为例看我是如何解决！ 3年前 Xdebug3 断点调试环境之 - Laravel8 + PHP8 + Xdebug3 + PhpStorm2021.3 + Homestead v13.2.1 + Mac 3年前那些靠它它会倒的 CDN 资源—线上项目出现引用的 CDN 资源无法加载的问题（最近CDN不稳定） 3年前 Dcat Admin 自定义 Form 表单—将配置内容缓存到 Redis 并统一调用 3年前 Laravel 使用 PostgreSQL 数据库需要注意的点

26 Laravel 使用 intervention/image 扩展包，生成带文字的海报 17 DcatAdmin 配合 `maatwebsite/excel` 扩展在后台增加 excel 导出的功能，并可导出图片 12 Xdebug3 断点调试环境之 - Laravel8 + PHP8 + Xdebug3 + PhpStorm2021.3 + Homestead v13.2.1 + Mac 10 Laravel 使用 intervention/image 扩展包，快速生成一个带二维码的海报 10 Dcat Admin 自定义 Form 表单实现后台系统配置内容的自定义，并可扩展配置项。

博客标签

maatwebsite/excel

Intervention/image

正则表达式约束

成为赞助商