hsts: improve subdomain handling

author Daniel Stenberg <daniel@haxx.se>

Wed, 9 Oct 2024 08:04:35 +0000 (10:04 +0200)

committer Daniel Stenberg <daniel@haxx.se>

Wed, 9 Oct 2024 11:48:08 +0000 (13:48 +0200)
author Daniel Stenberg <daniel@haxx.se>
Wed, 9 Oct 2024 08:04:35 +0000 (10:04 +0200)
committer Daniel Stenberg <daniel@haxx.se>
Wed, 9 Oct 2024 11:48:08 +0000 (13:48 +0200)
diff --git a/lib/hsts.c b/lib/hsts.c

index d5e883f51ef0f7d1657545024ff43ed2f36751f2..12052ce53c1c5a75b0764f3260eae36f41457c4a 100644 (file)
--- a/lib/hsts.c
+++ b/lib/hsts.c
@@ -249,11 +249,13 @@ CURLcode Curl_hsts_parse(struct hsts *h, const char *hostname,
  struct stsentry *Curl_hsts(struct hsts *h, const char *hostname,
                             bool subdomain)
  {
+  struct stsentry *bestsub = NULL;
    if(h) {
      time_t now = time(NULL);
      size_t hlen = strlen(hostname);
      struct Curl_llist_node *e;
      struct Curl_llist_node *n;
+    size_t blen = 0;
  
      if((hlen > MAX_HSTS_HOSTLEN) || !hlen)
        return NULL;
@@ -275,15 +277,19 @@ struct stsentry *Curl_hsts(struct hsts *h, const char *hostname,
        if((subdomain && sts->includeSubDomains) && (ntail < hlen)) {
          size_t offs = hlen - ntail;
          if((hostname[offs-1] == '.') &&
-           strncasecompare(&hostname[offs], sts->host, ntail))
-          return sts;
+           strncasecompare(&hostname[offs], sts->host, ntail) &&
+           (ntail > blen)) {
+          /* save the tail match with the longest tail */
+          bestsub = sts;
+          blen = ntail;
+        }
        }
        /* avoid strcasecompare because the host name is not null terminated */
        if((hlen == ntail) && strncasecompare(hostname, sts->host, hlen))
          return sts;
      }
    }
-  return NULL; /* no match */
+  return bestsub;
  }
  
  /*
@@ -435,7 +441,7 @@ static CURLcode hsts_add(struct hsts *h, char *line)
      e = Curl_hsts(h, p, subdomain);
      if(!e)
        result = hsts_create(h, p, subdomain, expires);
-    else {
+    else if(strcasecompare(p, e->host)) {
        /* the same hostname, use the largest expire time */
        if(expires > e->expires)
          e->expires = expires;
diff --git a/tests/data/test1660 b/tests/data/test1660

index f86126d19cf26928e46ecac8e8c9ca1f037db652..4b6f9615c9d51704e4a0575289cf47cdc93d5755 100644 (file)
--- a/tests/data/test1660
+++ b/tests/data/test1660
@@ -52,7 +52,7 @@ this.example [this.example]: 1548400797
  Input 12: error 43
  Input 13: error 43
  Input 14: error 43
-3.example.com [example.com]: 1569905261 includeSubDomains
+3.example.com [3.example.com]: 1569905261 includeSubDomains
  3.example.com [example.com]: 1569905261 includeSubDomains
  foo.example.com [example.com]: 1569905261 includeSubDomains
  'foo.xample.com' is not HSTS
author	Daniel Stenberg <daniel@haxx.se>
	Wed, 9 Oct 2024 08:04:35 +0000 (10:04 +0200)
committer	Daniel Stenberg <daniel@haxx.se>
	Wed, 9 Oct 2024 11:48:08 +0000 (13:48 +0200)
lib/hsts.c		patch \| blob \| blame \| history
tests/data/test1660		patch \| blob \| blame \| history