Forum PHP.pl

Może już też nie myślę, ale wg mnie postawiłeś błędne założenie, że: po przekierowaniu z www na bez www (zmiana url w pasku adresu), zmienia się także Host z nagłówka czyli $_SERVER['HTTP_HOST'].

Nie zmienia się, pozostaje taki sam jaki podmieniłeś i wchodzisz w pętle przekierowań, bo $_SERVER['HTTP_HOST'] ciągle pokazuje że jest z www.

Żeby nie być gołosłownym

To mi się kupy nie trzyma , ani specyfikacji HTTP . Aż musiałem kompa odpalić, bo Live HTTP Headers od zawsze miało "niespodzianki".
Tu zrzut z jakiegoś snifera wireshark i host ewidentnie zmieniony:

Edit: ciastka tylko usunąłem
Edit2: dobrze, że nie wybrałeś strony na SSL

GET / HTTP/1.1
Host: www.symfony.com
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: pl-PL,pl;q=0.8,en-US;q=0.6,en;q=0.4

HTTP/1.1 301 Moved Permanently
Age: 116
Content-Type: text/html
Date: Mon, 05 Oct 2015 23:11:00 GMT
Location: http://symfony.com/
Server: nginx/1.4.6 (Ubuntu)
Via: 1.1 varnish-v4
X-Varnish: 112821228 112330543
Content-Length: 193
Connection: keep-alive

<html>
<head><title>301 Moved Permanently</title></head>
<body bgcolor="white">
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.4.6 (Ubuntu)</center>
</body>
</html>

GET / HTTP/1.1
Host: symfony.com
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
Accept-Encoding: gzip, deflate, sdch
Accept-Language: pl-PL,pl;q=0.8,en-US;q=0.6,en;q=0.4


Pozostaje test ostateczny, ale nie chce mi się apacha w środku nocy stawiać. Jutro postaram się zweryfikować.

Ten post edytował netmare 6.10.2015, 00:28:54

Ustaliłem tyle, że Host w nagłówku się zmienia i po stronie PHP w $_SERVER jest widoczna zawsze wartość z konkretnego wywołania.
Z ciekawostek jeszcze zdziwiło mnie, że wstawienie w host slesza wali błędem, natomiast <> już nie Może gdyby ktoś miał virtual host *, i pokusił się o jakieś logowanie tego jakie hosty mu się wysyła... Ale fantastyka piętro wyżej, bo komu by się chciało sprawdzać taką podatność. Natomiast podatności na zapętlenie dalej nie widzę.


No oczywiście że można, tylko na 99% serwerów produkcyjnych zobaczysz coś jak host not found. A na pozostałych zobaczysz dokładnie to samo co byś w hosta nie wpisał. Jakieś na siłę potworzone dziury przez zaczynających przygodę z PHP pomijamy.



To zaprezentuj na przykładzie powiedzmy wp.pl, jak się ta pętla tworzy, bo mi jak na razie nie udało się powtórzyć Twojego wyczynu. Może jakiś filmik, albo dokładny opis co robisz w tym ff.

Wydaje mi się, że te wszystkie rozbieżności wynikają po prostu z różnej obsługi protokołu przez różne przeglądarki/soft.

Ewidentnie wchodzę w pętle przekierowań, video: https://youtu.be/IxZKD5wHkRs

Pobawiłem się z Apache i ja po przekierowaniu, nawet dałem 2 przekierowania, mam cały czas Host równy temu co podałem w nagłówku dla pierwszego URLa.

http://restclient.net/ - w sumie używam tego do testowania REST API. Ale do podmiany nagłówków też się nadaje.

Nie mam czasu, żeby zgłębić temat, ale coś mi się tu nie zgadza z tym wszystkim, trzeba by to dokładnie sprawdzić i wyciągnąć wtedy jakieś wnioski.

No to jak dla mnie wszystko jasne i zgadza się, z tym co napisałem powyżej. Przecież to nie będzie pętla przekierowań, tylko błąd operatora.

Więc jest takie coś w tym ff network.http.redirection-limit u mnie miało wartość 20. Przestawiłem na 2000 żeby zdążyć kliknąć w to modify headers. I jak tylko wziąłem Disable. FF od razu podołał z wczytaniem www.wp.pl
Mój wniosek z tego taki, że te softy, zamiast podmienić nagłówek raz, podmieniają go na stałe (dlatego też Damonsson widzi ciągle ten sam host). W połączeniu z redirem robi się pętla. Bo idzie:

GET / HTTP/1.1
Host: wp.pl
->
Location: http://www.wp.pl/

I tu przeglądarka robi:
GET / HTTP/1.1
Host: www.wp.pl
Ale po tym jak ona to zrobi wasz soft podmienia nagłówek (swoją drogą, nie wiem czemu użyłeś tam add, a nie modify) zamienia host na wp.pl, więc wysyłacie drugi raz dokładnie taki sam nagłówek i potem kolejne razy aż do osiągnięcia limitu redirów. Więc jak dla mnie to nie pętla przekierowań, a atak powerusera na własną przeglądarkę, bo nic poza tym to działanie do tematu nie wnosi (dalej uważam, że F5 i zapałka są łatwiejsze w użyciu i nie wywalą się po określonej liczbie redirów ). Poza tym jest tu sprzyjająca sytuacja, że redir jest z / na / bo raczej na każdym site jest domyślny index, ale gdyby adres wpisywany był mojadomena.pl/a.php, a z niego byłby redir www.mojadomena.pl/b.php to po podmianie hosta doszłoby od razu do 404 zamiast pętli.


Tak czy inaczej dzięki za gimnastykę intelektualną (już się wystraszyłem że naprawdę nie widzę czegoś oczywistego) i aż szkoda że się temat wyczerpał.
Gdybyście jeszcze mogli podrzucić nazwę jakiegoś darmowego softu, do robienia takich ładnych filmików

Edit:

Dokładnie nie sprawdziłem, też mam ograniczenia czasowe. Ale wnioski nasunęły się same po obejrzeniu filmików, szczególnie tego drugiego z zieloną kontrolką podmiany wartości nagłówka.

Ten post edytował netmare 6.10.2015, 21:25:29