fix(back): 拒绝 nested back 参数避免回退 URL 膨胀（plans/platform-orders）

2026-03-14 02:07:04 +00:00
parent 6c8d78d981
commit 56bf040252
4 changed files with 61 additions and 6 deletions
--- a/app/Http/Controllers/Admin/PlatformOrderController.php
+++ b/app/Http/Controllers/Admin/PlatformOrderController.php
@@ -45,7 +45,10 @@ class PlatformOrderController extends Controller
        // back 安全阀：必须为站内相对路径，并拒绝引号/尖括号。
        // 说明：form 页会把 defaults.back 透传到 hidden input 与返回按钮；因此这里提前清洗，避免 unsafe back 在页面中出现。
        $incomingBack = (string) ($defaults['back'] ?? '');
-        $defaults['back'] = (str_starts_with($incomingBack, '/') && !preg_match('/["\'<>]/', $incomingBack))
+        $defaults['back'] = (str_starts_with($incomingBack, '/')
+            && !preg_match('/["\'<>]/', $incomingBack)
+            // back 本身不应再包含 back（避免无限嵌套导致 URL 膨胀）
+            && !preg_match('/(?:^|[?&])back=/', $incomingBack))
            ? $incomingBack
            : '';

@@ -134,7 +137,12 @@ class PlatformOrderController extends Controller

        $back = (string) ($data['back'] ?? '');
        // back 需为站内相对路径，并拒绝引号/尖括号，避免在后续页面以 `{!! !!}` 原样输出时引入 XSS 风险。
-        $safeBack = (str_starts_with($back, '/') && !preg_match('/["\'<>]/', $back)) ? $back : '';
+        $safeBack = (str_starts_with($back, '/')
+            && !preg_match('/["\'<>]/', $back)
+            // back 本身不应再包含 back（避免无限嵌套导致 URL 膨胀）
+            && !preg_match('/(?:^|[?&])back=/', $back))
+            ? $back
+            : '';

        $redirectUrl = '/admin/platform-orders/' . $order->id;
        if ($safeBack !== '') {