firesunCN · hcl1687 · Sep 15, 2022
diff --git a/.dockerignore b/.dockerignore
@@ -0,0 +1,4 @@
+.git
+.dockerignore
+Dockerfile
+src/
diff --git a/Dockerfile b/Dockerfile
@@ -0,0 +1,8 @@
+FROM php:7.4-apache
+
+RUN mv "$PHP_INI_DIR/php.ini-production" "$PHP_INI_DIR/php.ini"
+WORKDIR /var/www/html
+
+COPY . .
+RUN chmod 777 -R ./
+RUN echo "\nDirectoryIndex index.php" >> .htaccess
diff --git a/README.md b/README.md
@@ -180,6 +180,19 @@ define('MAIL_RECV', '[email protected]');//接收通知的邮件地址
 * 安装脚本完全参考[wordpress](https://cn.wordpress.org/)的安装程序
 * **Warning: 本工具仅允许使用在CTF比赛等学习、研究场景，严禁用于非法用途**
 
+## 构建Docker镜像
+### build
+```bash
+sudo docker build -t="your_dockerhub_account/bluelotus_xssreceiver" .
+```
+
+### run
+```bash
+sudo docker run -d -p 8080:80 --name xssr your_dockerhub_account/bluelotus_xssreceiver
+```
+* 运行成功后，访问http://网站地址:8080/
+
+
 ## 意见与建议
 
 欢迎大家在使用过程中提出各种宝贵的意见和建议，以及各种bug，不胜感激

diff --git a/api.php b/api.php
@@ -7,7 +7,8 @@
 
 $referer_array = parse_url($_SERVER['HTTP_REFERER']); 
 //CSRF防御
-if($referer_array['host'] != $_SERVER['HTTP_HOST']) { 
+//$_SERVER['HTTP_HOST']有可能包含端口号，比如:abc.com:8080。需要先去除端口号再比较。
+if($referer_array['host'] != preg_replace("/:\d+$/", '', $_SERVER['HTTP_HOST'])) { 
     exit('Access Denied'); 
 }