如何防止网站上的自定义重定向？

要防止网站上的自定义重定向，可以在服务器端进行验证和过滤，确保重定向的 URL 是安全和可信的。以下是一个使用 PHP 的示例代码，用于防止自定义重定向攻击。

<?php
function isSafeURL($url) {
    // 检查 URL 是否以 http:// 或 https:// 开头
    if (strpos($url, "http://") !== 0 && strpos($url, "https://") !== 0) {
        return false;
    }

    // 检查 URL 的域名是否在白名单之内
    $allowedDomains = array("example.com", "example.org"); // 添加允许的域名
    $parsedURL = parse_url($url);
    $domain = $parsedURL['host'];
    $domainParts = explode(".", $domain);

    if (!in_array($domain, $allowedDomains)) {
        return false;
    }

    // 检查 URL 的路径是否包含恶意代码
    $path = $parsedURL['path'];
    $query = $parsedURL['query'];

    // 在这里添加自定义的路径和查询字符串的验证逻辑
    // 例如，可以检查路径中是否包含敏感词汇或特殊字符，或者查询字符串是否包含非法参数

    return true;
}

function redirect($url) {
    if (isSafeURL($url)) {
        header("Location: " . $url);
        exit();
    } else {
        echo "Invalid URL";
    }
}

// 从用户输入中获取重定向 URL，并进行重定向
$userInputURL = $_GET['url'];
redirect($userInputURL);
?>

上述代码中，isSafeURL() 函数用于验证 URL 是否安全。它首先检查 URL 是否以 http:// 或 https:// 开头，并且检查 URL 的域名是否在允许的域名列表中。然后，你可以根据需要添加更多的验证逻辑，例如检查路径和查询字符串是否包含恶意代码。

redirect() 函数用于实际的重定向操作。它首先调用 isSafeURL() 函数进行验证，如果 URL 是安全的，则使用 header() 函数将用户输入的 URL 作为重定向目标。如果 URL 不安全，则输出错误信息。

请注意，这只是一个示例代码，你需要根据自己的需求和具体情况进行修改和完善。