wp-includes/http.php

   1 <?php
   2 /**
   3  * Core HTTP Request API
   4  *
   5  * Standardizes the HTTP requests for WordPress. Handles cookies, gzip encoding and decoding, chunk
   6  * decoding, if HTTP 1.1 and various other difficult HTTP protocol implementations.
   7  *
   8  * @package WordPress
   9  * @subpackage HTTP
  10  */
  11
  12 /**
  13  * Returns the initialized WP_Http Object
  14  *
  15  * @since 2.7.0
  16  * @access private
  17  *
  18  * @staticvar WP_Http $http
  19  *
  20  * @return WP_Http HTTP Transport object.
  21  */
  22 function _wp_http_get_object() {
  23         static $http = null;
  24
  25         if ( is_null( $http ) ) {
  26                 $http = new WP_Http();
  27         }
  28         return $http;
  29 }
  30
  31 /**
  32  * Retrieve the raw response from a safe HTTP request.
  33  *
  34  * This function is ideal when the HTTP request is being made to an arbitrary
  35  * URL. The URL is validated to avoid redirection and request forgery attacks.
  36  *
  37  * @since 3.6.0
  38  *
  39  * @see wp_remote_request() For more information on the response array format.
  40  * @see WP_Http::request() For default arguments information.
  41  *
  42  * @param string $url  Site URL to retrieve.
  43  * @param array  $args Optional. Request arguments. Default empty array.
  44  * @return WP_Error|array The response or WP_Error on failure.
  45  */
  46 function wp_safe_remote_request( $url, $args = array() ) {
  47         $args['reject_unsafe_urls'] = true;
  48         $http = _wp_http_get_object();
  49         return $http->request( $url, $args );
  50 }
  51
  52 /**
  53  * Retrieve the raw response from a safe HTTP request using the GET method.
  54  *
  55  * This function is ideal when the HTTP request is being made to an arbitrary
  56  * URL. The URL is validated to avoid redirection and request forgery attacks.
  57  *
  58  * @since 3.6.0
  59  *
  60  * @see wp_remote_request() For more information on the response array format.
  61  * @see WP_Http::request() For default arguments information.
  62  *
  63  * @param string $url  Site URL to retrieve.
  64  * @param array  $args Optional. Request arguments. Default empty array.
  65  * @return WP_Error|array The response or WP_Error on failure.
  66  */
  67 function wp_safe_remote_get( $url, $args = array() ) {
  68         $args['reject_unsafe_urls'] = true;
  69         $http = _wp_http_get_object();
  70         return $http->get( $url, $args );
  71 }
  72
  73 /**
  74  * Retrieve the raw response from a safe HTTP request using the POST method.
  75  *
  76  * This function is ideal when the HTTP request is being made to an arbitrary
  77  * URL. The URL is validated to avoid redirection and request forgery attacks.
  78  *
  79  * @since 3.6.0
  80  *
  81  * @see wp_remote_request() For more information on the response array format.
  82  * @see WP_Http::request() For default arguments information.
  83  *
  84  * @param string $url  Site URL to retrieve.
  85  * @param array  $args Optional. Request arguments. Default empty array.
  86  * @return WP_Error|array The response or WP_Error on failure.
  87  */
  88 function wp_safe_remote_post( $url, $args = array() ) {
  89         $args['reject_unsafe_urls'] = true;
  90         $http = _wp_http_get_object();
  91         return $http->post( $url, $args );
  92 }
  93
  94 /**
  95  * Retrieve the raw response from a safe HTTP request using the HEAD method.
  96  *
  97  * This function is ideal when the HTTP request is being made to an arbitrary
  98  * URL. The URL is validated to avoid redirection and request forgery attacks.
  99  *
 100  * @since 3.6.0
 101  *
 102  * @see wp_remote_request() For more information on the response array format.
 103  * @see WP_Http::request() For default arguments information.
 104  *
 105  * @param string $url Site URL to retrieve.
 106  * @param array $args Optional. Request arguments. Default empty array.
 107  * @return WP_Error|array The response or WP_Error on failure.
 108  */
 109 function wp_safe_remote_head( $url, $args = array() ) {
 110         $args['reject_unsafe_urls'] = true;
 111         $http = _wp_http_get_object();
 112         return $http->head( $url, $args );
 113 }
 114
 115 /**
 116  * Retrieve the raw response from the HTTP request.
 117  *
 118  * The array structure is a little complex:
 119  *
 120  *     $res = array(
 121  *         'headers'  => array(),
 122  *         'response' => array(
 123  *             'code'    => int,
 124  *             'message' => string
 125  *         )
 126  *     );
 127  *
 128  * All of the headers in $res['headers'] are with the name as the key and the
 129  * value as the value. So to get the User-Agent, you would do the following.
 130  *
 131  *     $user_agent = $res['headers']['user-agent'];
 132  *
 133  * The body is the raw response content and can be retrieved from $res['body'].
 134  *
 135  * This function is called first to make the request and there are other API
 136  * functions to abstract out the above convoluted setup.
 137  *
 138  * Request method defaults for helper functions:
 139  *  - Default 'GET'  for wp_remote_get()
 140  *  - Default 'POST' for wp_remote_post()
 141  *  - Default 'HEAD' for wp_remote_head()
 142  *
 143  * @since 2.7.0
 144  *
 145  * @see WP_Http::request() For additional information on default arguments.
 146  *
 147  * @param string $url  Site URL to retrieve.
 148  * @param array  $args Optional. Request arguments. Default empty array.
 149  * @return WP_Error|array The response or WP_Error on failure.
 150  */
 151 function wp_remote_request($url, $args = array()) {
 152         $http = _wp_http_get_object();
 153         return $http->request( $url, $args );
 154 }
 155
 156 /**
 157  * Retrieve the raw response from the HTTP request using the GET method.
 158  *
 159  * @since 2.7.0
 160  *
 161  * @see wp_remote_request() For more information on the response array format.
 162  * @see WP_Http::request() For default arguments information.
 163  *
 164  * @param string $url  Site URL to retrieve.
 165  * @param array  $args Optional. Request arguments. Default empty array.
 166  * @return WP_Error|array The response or WP_Error on failure.
 167  */
 168 function wp_remote_get($url, $args = array()) {
 169         $http = _wp_http_get_object();
 170         return $http->get( $url, $args );
 171 }
 172
 173 /**
 174  * Retrieve the raw response from the HTTP request using the POST method.
 175  *
 176  * @since 2.7.0
 177  *
 178  * @see wp_remote_request() For more information on the response array format.
 179  * @see WP_Http::request() For default arguments information.
 180  *
 181  * @param string $url  Site URL to retrieve.
 182  * @param array  $args Optional. Request arguments. Default empty array.
 183  * @return WP_Error|array The response or WP_Error on failure.
 184  */
 185 function wp_remote_post($url, $args = array()) {
 186         $http = _wp_http_get_object();
 187         return $http->post( $url, $args );
 188 }
 189
 190 /**
 191  * Retrieve the raw response from the HTTP request using the HEAD method.
 192  *
 193  * @since 2.7.0
 194  *
 195  * @see wp_remote_request() For more information on the response array format.
 196  * @see WP_Http::request() For default arguments information.
 197  *
 198  * @param string $url  Site URL to retrieve.
 199  * @param array  $args Optional. Request arguments. Default empty array.
 200  * @return WP_Error|array The response or WP_Error on failure.
 201  */
 202 function wp_remote_head($url, $args = array()) {
 203         $http = _wp_http_get_object();
 204         return $http->head( $url, $args );
 205 }
 206
 207 /**
 208  * Retrieve only the headers from the raw response.
 209  *
 210  * @since 2.7.0
 211  *
 212  * @param array $response HTTP response.
 213  * @return array The headers of the response. Empty array if incorrect parameter given.
 214  */
 215 function wp_remote_retrieve_headers( $response ) {
 216         if ( is_wp_error($response) || ! isset($response['headers']) || ! is_array($response['headers']))
 217                 return array();
 218
 219         return $response['headers'];
 220 }
 221
 222 /**
 223  * Retrieve a single header by name from the raw response.
 224  *
 225  * @since 2.7.0
 226  *
 227  * @param array  $response
 228  * @param string $header Header name to retrieve value from.
 229  * @return string The header value. Empty string on if incorrect parameter given, or if the header doesn't exist.
 230  */
 231 function wp_remote_retrieve_header( $response, $header ) {
 232         if ( is_wp_error($response) || ! isset($response['headers']) || ! is_array($response['headers']))
 233                 return '';
 234
 235         if ( array_key_exists($header, $response['headers']) )
 236                 return $response['headers'][$header];
 237
 238         return '';
 239 }
 240
 241 /**
 242  * Retrieve only the response code from the raw response.
 243  *
 244  * Will return an empty array if incorrect parameter value is given.
 245  *
 246  * @since 2.7.0
 247  *
 248  * @param array $response HTTP response.
 249  * @return int|string The response code as an integer. Empty string on incorrect parameter given.
 250  */
 251 function wp_remote_retrieve_response_code( $response ) {
 252         if ( is_wp_error($response) || ! isset($response['response']) || ! is_array($response['response']))
 253                 return '';
 254
 255         return $response['response']['code'];
 256 }
 257
 258 /**
 259  * Retrieve only the response message from the raw response.
 260  *
 261  * Will return an empty array if incorrect parameter value is given.
 262  *
 263  * @since 2.7.0
 264  *
 265  * @param array $response HTTP response.
 266  * @return string The response message. Empty string on incorrect parameter given.
 267  */
 268 function wp_remote_retrieve_response_message( $response ) {
 269         if ( is_wp_error($response) || ! isset($response['response']) || ! is_array($response['response']))
 270                 return '';
 271
 272         return $response['response']['message'];
 273 }
 274
 275 /**
 276  * Retrieve only the body from the raw response.
 277  *
 278  * @since 2.7.0
 279  *
 280  * @param array $response HTTP response.
 281  * @return string The body of the response. Empty string if no body or incorrect parameter given.
 282  */
 283 function wp_remote_retrieve_body( $response ) {
 284         if ( is_wp_error($response) || ! isset($response['body']) )
 285                 return '';
 286
 287         return $response['body'];
 288 }
 289
 290 /**
 291  * Retrieve only the body from the raw response.
 292  *
 293  * @since 4.4.0
 294  *
 295  * @param array $response HTTP response.
 296  * @return array An array of `WP_Http_Cookie` objects from the response. Empty array if there are none, or the response is a WP_Error.
 297  */
 298 function wp_remote_retrieve_cookies( $response ) {
 299         if ( is_wp_error( $response ) || empty( $response['cookies'] ) ) {
 300                 return array();
 301         }
 302
 303         return $response['cookies'];
 304 }
 305
 306 /**
 307  * Retrieve a single cookie by name from the raw response.
 308  *
 309  * @since 4.4.0
 310  *
 311  * @param array  $response HTTP response.
 312  * @param string $name     The name of the cookie to retrieve.
 313  * @return WP_Http_Cookie|string The `WP_Http_Cookie` object. Empty string if the cookie isn't present in the response.
 314  */
 315 function wp_remote_retrieve_cookie( $response, $name ) {
 316         $cookies = wp_remote_retrieve_cookies( $response );
 317
 318         if ( empty( $cookies ) ) {
 319                 return '';
 320         }
 321
 322         foreach ( $cookies as $cookie ) {
 323                 if ( $cookie->name === $name ) {
 324                         return $cookie;
 325                 }
 326         }
 327
 328         return '';
 329 }
 330
 331 /**
 332  * Retrieve a single cookie's value by name from the raw response.
 333  *
 334  * @since 4.4.0
 335  *
 336  * @param array  $response HTTP response.
 337  * @param string $name     The name of the cookie to retrieve.
 338  * @return string The value of the cookie. Empty string if the cookie isn't present in the response.
 339  */
 340 function wp_remote_retrieve_cookie_value( $response, $name ) {
 341         $cookie = wp_remote_retrieve_cookie( $response, $name );
 342
 343         if ( ! is_a( $cookie, 'WP_Http_Cookie' ) ) {
 344                 return '';
 345         }
 346
 347         return $cookie->value;
 348 }
 349
 350 /**
 351  * Determines if there is an HTTP Transport that can process this request.
 352  *
 353  * @since 3.2.0
 354  *
 355  * @param array  $capabilities Array of capabilities to test or a wp_remote_request() $args array.
 356  * @param string $url          Optional. If given, will check if the URL requires SSL and adds
 357  *                             that requirement to the capabilities array.
 358  *
 359  * @return bool
 360  */
 361 function wp_http_supports( $capabilities = array(), $url = null ) {
 362         $http = _wp_http_get_object();
 363
 364         $capabilities = wp_parse_args( $capabilities );
 365
 366         $count = count( $capabilities );
 367
 368         // If we have a numeric $capabilities array, spoof a wp_remote_request() associative $args array
 369         if ( $count && count( array_filter( array_keys( $capabilities ), 'is_numeric' ) ) == $count ) {
 370                 $capabilities = array_combine( array_values( $capabilities ), array_fill( 0, $count, true ) );
 371         }
 372
 373         if ( $url && !isset( $capabilities['ssl'] ) ) {
 374                 $scheme = parse_url( $url, PHP_URL_SCHEME );
 375                 if ( 'https' == $scheme || 'ssl' == $scheme ) {
 376                         $capabilities['ssl'] = true;
 377                 }
 378         }
 379
 380         return (bool) $http->_get_first_available_transport( $capabilities );
 381 }
 382
 383 /**
 384  * Get the HTTP Origin of the current request.
 385  *
 386  * @since 3.4.0
 387  *
 388  * @return string URL of the origin. Empty string if no origin.
 389  */
 390 function get_http_origin() {
 391         $origin = '';
 392         if ( ! empty ( $_SERVER[ 'HTTP_ORIGIN' ] ) )
 393                 $origin = $_SERVER[ 'HTTP_ORIGIN' ];
 394
 395         /**
 396          * Change the origin of an HTTP request.
 397          *
 398          * @since 3.4.0
 399          *
 400          * @param string $origin The original origin for the request.
 401          */
 402         return apply_filters( 'http_origin', $origin );
 403 }
 404
 405 /**
 406  * Retrieve list of allowed HTTP origins.
 407  *
 408  * @since 3.4.0
 409  *
 410  * @return array Array of origin URLs.
 411  */
 412 function get_allowed_http_origins() {
 413         $admin_origin = parse_url( admin_url() );
 414         $home_origin = parse_url( home_url() );
 415
 416         // @todo preserve port?
 417         $allowed_origins = array_unique( array(
 418                 'http://' . $admin_origin[ 'host' ],
 419                 'https://' . $admin_origin[ 'host' ],
 420                 'http://' . $home_origin[ 'host' ],
 421                 'https://' . $home_origin[ 'host' ],
 422         ) );
 423
 424         /**
 425          * Change the origin types allowed for HTTP requests.
 426          *
 427          * @since 3.4.0
 428          *
 429          * @param array $allowed_origins {
 430          *     Default allowed HTTP origins.
 431          *     @type string Non-secure URL for admin origin.
 432          *     @type string Secure URL for admin origin.
 433          *     @type string Non-secure URL for home origin.
 434          *     @type string Secure URL for home origin.
 435          * }
 436          */
 437         return apply_filters( 'allowed_http_origins' , $allowed_origins );
 438 }
 439
 440 /**
 441  * Determines if the HTTP origin is an authorized one.
 442  *
 443  * @since 3.4.0
 444  *
 445  * @param null|string $origin Origin URL. If not provided, the value of get_http_origin() is used.
 446  * @return string True if the origin is allowed. False otherwise.
 447  */
 448 function is_allowed_http_origin( $origin = null ) {
 449         $origin_arg = $origin;
 450
 451         if ( null === $origin )
 452                 $origin = get_http_origin();
 453
 454         if ( $origin && ! in_array( $origin, get_allowed_http_origins() ) )
 455                 $origin = '';
 456
 457         /**
 458          * Change the allowed HTTP origin result.
 459          *
 460          * @since 3.4.0
 461          *
 462          * @param string $origin     Result of check for allowed origin.
 463          * @param string $origin_arg Original origin string passed into is_allowed_http_origin function.
 464          */
 465         return apply_filters( 'allowed_http_origin', $origin, $origin_arg );
 466 }
 467
 468 /**
 469  * Send Access-Control-Allow-Origin and related headers if the current request
 470  * is from an allowed origin.
 471  *
 472  * If the request is an OPTIONS request, the script exits with either access
 473  * control headers sent, or a 403 response if the origin is not allowed. For
 474  * other request methods, you will receive a return value.
 475  *
 476  * @since 3.4.0
 477  *
 478  * @return string|false Returns the origin URL if headers are sent. Returns false
 479  *                      if headers are not sent.
 480  */
 481 function send_origin_headers() {
 482         $origin = get_http_origin();
 483
 484         if ( is_allowed_http_origin( $origin ) ) {
 485                 @header( 'Access-Control-Allow-Origin: ' .  $origin );
 486                 @header( 'Access-Control-Allow-Credentials: true' );
 487                 if ( 'OPTIONS' === $_SERVER['REQUEST_METHOD'] )
 488                         exit;
 489                 return $origin;
 490         }
 491
 492         if ( 'OPTIONS' === $_SERVER['REQUEST_METHOD'] ) {
 493                 status_header( 403 );
 494                 exit;
 495         }
 496
 497         return false;
 498 }
 499
 500 /**
 501  * Validate a URL for safe use in the HTTP API.
 502  *
 503  * @since 3.5.2
 504  *
 505  * @param string $url
 506  * @return false|string URL or false on failure.
 507  */
 508 function wp_http_validate_url( $url ) {
 509         $original_url = $url;
 510         $url = wp_kses_bad_protocol( $url, array( 'http', 'https' ) );
 511         if ( ! $url || strtolower( $url ) !== strtolower( $original_url ) )
 512                 return false;
 513
 514         $parsed_url = @parse_url( $url );
 515         if ( ! $parsed_url || empty( $parsed_url['host'] ) )
 516                 return false;
 517
 518         if ( isset( $parsed_url['user'] ) || isset( $parsed_url['pass'] ) )
 519                 return false;
 520
 521         if ( false !== strpbrk( $parsed_url['host'], ':#?[]' ) )
 522                 return false;
 523
 524         $parsed_home = @parse_url( get_option( 'home' ) );
 525
 526         $same_host = strtolower( $parsed_home['host'] ) === strtolower( $parsed_url['host'] );
 527
 528         if ( ! $same_host ) {
 529                 $host = trim( $parsed_url['host'], '.' );
 530                 if ( preg_match( '#^\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}$#', $host ) ) {
 531                         $ip = $host;
 532                 } else {
 533                         $ip = gethostbyname( $host );
 534                         if ( $ip === $host ) // Error condition for gethostbyname()
 535                                 $ip = false;
 536                 }
 537                 if ( $ip ) {
 538                         $parts = array_map( 'intval', explode( '.', $ip ) );
 539                         if ( 127 === $parts[0] || 10 === $parts[0] || 0 === $parts[0]
 540                                 || ( 172 === $parts[0] && 16 <= $parts[1] && 31 >= $parts[1] )
 541                                 || ( 192 === $parts[0] && 168 === $parts[1] )
 542                         ) {
 543                                 // If host appears local, reject unless specifically allowed.
 544                                 /**
 545                                  * Check if HTTP request is external or not.
 546                                  *
 547                                  * Allows to change and allow external requests for the HTTP request.
 548                                  *
 549                                  * @since 3.6.0
 550                                  *
 551                                  * @param bool   false Whether HTTP request is external or not.
 552                                  * @param string $host IP of the requested host.
 553                                  * @param string $url  URL of the requested host.
 554                                  */
 555                                 if ( ! apply_filters( 'http_request_host_is_external', false, $host, $url ) )
 556                                         return false;
 557                         }
 558                 }
 559         }
 560
 561         if ( empty( $parsed_url['port'] ) )
 562                 return $url;
 563
 564         $port = $parsed_url['port'];
 565         if ( 80 === $port || 443 === $port || 8080 === $port )
 566                 return $url;
 567
 568         if ( $parsed_home && $same_host && isset( $parsed_home['port'] ) && $parsed_home['port'] === $port )
 569                 return $url;
 570
 571         return false;
 572 }
 573
 574 /**
 575  * Whitelists allowed redirect hosts for safe HTTP requests as well.
 576  *
 577  * Attached to the http_request_host_is_external filter.
 578  *
 579  * @since 3.6.0
 580  *
 581  * @param bool   $is_external
 582  * @param string $host
 583  * @return bool
 584  */
 585 function allowed_http_request_hosts( $is_external, $host ) {
 586         if ( ! $is_external && wp_validate_redirect( 'http://' . $host ) )
 587                 $is_external = true;
 588         return $is_external;
 589 }
 590
 591 /**
 592  * Whitelists any domain in a multisite installation for safe HTTP requests.
 593  *
 594  * Attached to the http_request_host_is_external filter.
 595  *
 596  * @since 3.6.0
 597  *
 598  * @global wpdb $wpdb WordPress database abstraction object.
 599  * @staticvar array $queried
 600  *
 601  * @param bool   $is_external
 602  * @param string $host
 603  * @return bool
 604  */
 605 function ms_allowed_http_request_hosts( $is_external, $host ) {
 606         global $wpdb;
 607         static $queried = array();
 608         if ( $is_external )
 609                 return $is_external;
 610         if ( $host === get_current_site()->domain )
 611                 return true;
 612         if ( isset( $queried[ $host ] ) )
 613                 return $queried[ $host ];
 614         $queried[ $host ] = (bool) $wpdb->get_var( $wpdb->prepare( "SELECT domain FROM $wpdb->blogs WHERE domain = %s LIMIT 1", $host ) );
 615         return $queried[ $host ];
 616 }
 617
 618 /**
 619  * A wrapper for PHP's parse_url() function that handles edgecases in < PHP 5.4.7
 620  *
 621  * PHP 5.4.7 expanded parse_url()'s ability to handle non-absolute url's, including
 622  * schemeless and relative url's with :// in the path, this works around those
 623  * limitations providing a standard output on PHP 5.2~5.4+.
 624  *
 625  * Error suppression is used as prior to PHP 5.3.3, an E_WARNING would be generated
 626  * when URL parsing failed.
 627  *
 628  * @since 4.4.0
 629  *
 630  * @param string $url The URL to parse.
 631  * @return bool|array False on failure; Array of URL components on success;
 632  *                    See parse_url()'s return values.
 633  */
 634 function wp_parse_url( $url ) {
 635         $parts = @parse_url( $url );
 636         if ( ! $parts ) {
 637                 // < PHP 5.4.7 compat, trouble with relative paths including a scheme break in the path
 638                 if ( '/' == $url[0] && false !== strpos( $url, '://' ) ) {
 639                         // Since we know it's a relative path, prefix with a scheme/host placeholder and try again
 640                         if ( ! $parts = @parse_url( 'placeholder://placeholder' . $url ) ) {
 641                                 return $parts;
 642                         }
 643                         // Remove the placeholder values
 644                         unset( $parts['scheme'], $parts['host'] );
 645                 } else {
 646                         return $parts;
 647                 }
 648         }
 649
 650         // < PHP 5.4.7 compat, doesn't detect schemeless URL's host field
 651         if ( '//' == substr( $url, 0, 2 ) && ! isset( $parts['host'] ) ) {
 652                 $path_parts = explode( '/', substr( $parts['path'], 2 ), 2 );
 653                 $parts['host'] = $path_parts[0];
 654                 if ( isset( $path_parts[1] ) ) {
 655                         $parts['path'] = '/' . $path_parts[1];
 656                 } else {
 657                         unset( $parts['path'] );
 658                 }
 659         }
 660
 661         return $parts;
 662 }