BackUrl::sanitizeForLinks 增加长度安全阀（>2000 拒绝）并补单测

2026-03-15 04:45:04 +00:00
parent c4c91ebf14
commit d34578452c
2 changed files with 12 additions and 0 deletions
--- a/app/Support/BackUrl.php
+++ b/app/Support/BackUrl.php
@@ -18,6 +18,12 @@ class BackUrl
            return '';
        }

+        // 长度安全阀：避免超长 back 造成 header/url 过大、日志污染或潜在 DoS
+        // 与表单侧 max:2000 的校验口径对齐。
+        if (strlen($incomingBack) > 2000) {
+            return '';
+        }
+
        if (!str_starts_with($incomingBack, '/')) {
            return '';
        }