最近はMBSDでWebアプリケーションスキャナの開発をしている寺田です。 Webアプリケーションを開発していると、セキュリティの観点でURLをチェックしなければならないことがしばしばあります。本日の記事では、そのようなURLのチェックを如何に行うか、正規表現を使う場合の注意点や、バイパス方法などについて書きたいと思います。 本記事で想定するのは、ブラウザからパラメータとして来るURLをチェックしてリダイレクトやリンクのURL等として使ったり、ブラウザから来たOriginヘッダ等のURLをチェックしてアクセス制御をするケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… よく使われてそうなチェック用の正規表現と、そのバイパスは以下のとおりです。 正規表現: ^https://.+\.example\.
![正規表現でのURLのチェックとバイパス | 技術者ブログ | 三井物産セキュアディレクション株式会社](https://cdn-ak-scissors.b.st-hatena.com/image/square/6b25c3f937531a93ec0ba554c41929da064e8eaf/height=288;version=1;width=512/https%3A%2F%2Fwww.mbsd.jp%2F2022%2F10%2F21%2Fassets%2Fimages%2Fhttps-g7a6d133c6_1920.jpg)