文件下载安全优化

46a12fab · Devil · c3f2a410 · 46a12fab
隐藏空白更改
内联并排

Showing with 6 addition and 2 deletion

extend/base/Qrcode.php extend/base/Qrcode.php +6 -2

未找到文件。
--- a/extend/base/Qrcode.php
+++ b/extend/base/Qrcode.php
@@ -186,8 +186,12 @@ class Qrcode
            return DataReturn('url地址有误', -1);
        }

-        // 域名验证、仅支持下载当前域名下的文件
-        if(GetUrlHost(__MY_HOST__) != GetUrlHost($url))
+        // 验证下载地址域名
+        $domain_arr = [
+            GetUrlHost(config('shopxo.attachment_host')),
+            GetUrlHost(__MY_HOST__),
+        ];
+        if(!in_array(GetUrlHost($url), $domain_arr))
        {
            return DataReturn('url地址非法', -1);
        }