Discuz 教程：不修改代码达到允许 referer 跳转到同顶级域名

查看了 discuz 的 drerferer 方法. 发现它不允许跳转到不同子域名的跳转. 如果想跳转, 可以修改这个方法, 允许. 但是这样处理会在以后升级时, 又得要修改. 比较麻烦. 再想一下,discuz 这样处理, 简单的个人理解。

就是假设有人想干干事. 那在某个位置放置一个跳转到其它网站上的 url, 然后再把这个网站仿得跟之前使用的那个"正版"网站一样, 就可以达到骗取密码之类的目的了。

所以这是比较危险. 或者这个方式还有更加多的利用. 所以. 它做了这个防止. 现在我要说的是使用一个不变动的方式来增加跳转功能.

在 discuz 的根目录下放置一个:referer.htm 文件. 内容如下, 主要是为了能跳过去. 且在这个文件中做一个跳的域名的判断. 不符合就简单的跳到首页, 因为? 号会导致服务尝试查询解析, 所以就不用了. 还是用 hash 吧.

代码如下:
<script>
/* by qidizi: discuz 不允许跳转到其它域名, 现使用 js 处理, 减少修改的工作量, 允许跳到同顶域--不能跳到其它域, 防止仿站之类的欺骗*/
(function(){
var topDomain = location.host.split('.');
topDomain = topDomain[topDomain.length-2]+'.'+topDomain[topDomain.length-1];
if (location.hash.length < 3) return location = 'http://' +location.host + '/';
var referer = unescape(location.hash.replace(/#/g, '').replace('%_', '%'));
if (new RegExp('^http://([^/]+.)?' +topDomain+ '/', 'i').test(referer)) {//同 top domain
location = referer;
} else {
location = 'http://' +location.host + '/';
}
})();
</script>

使用方式如下. 使用 js 生成的一个退出链接, 点击退出成功再会退出当前的这个页面. 这样这个目的就达到了.
+
' <a
href="https://www.weixiaoduo.com/member.php?mod=logging&action=logout&formhash='
+json['formHash']+ '&referer=/referer.htm' +escape('#')
+escape(location).replace(/%/g, '%_')+ '"
target="_self"> 退出</a>'

ok, 经过测试. 此方案工作正常