nginx – 使用$http_host危险吗?

From my own answer,我不得不用$http_host替换$host以解决我的问题…但这样安全吗?似乎所有$http_host正在做的是从头部暴露整个HOST.这里的explanation还不清楚……有谁知道为什么$http_host会更危险?编辑实际上,这是我的第3次编辑……在阅读之后我应

From my own answer,我不得不用$http_host替换$host以解决我的问题…

但这样安全吗?

似乎所有$http_host正在做的是从头部暴露整个HOST.
这里的explanation还不清楚……

有谁知道为什么$http_host会更危险?

编辑

实际上,这是我的第3次编辑……
在阅读之后我应该重新考虑我的立场:
https://stackoverflow.com/questions/1459739/php-serverhttp-host-vs-serverserver-name-am-i-understanding-the-ma

我不确定nginx如何对此做出反应,但是你们认为nginx还会与Chris的测试结果一致,既不安全吗?

在什么情况下,你能想到一种在使用$http_host时利用的方法吗?此外,为什么删除端口号很重要?

我明白有可能危及网络,并发送一些主机:假或旧的IP,然后在我读到其他地方时执行重新绑定攻击?

最佳答案
$host只是$http_host,有一些处理(剥离端口号和小写)和默认值(server_name),所以当使用$http_host时,客户端发送的Host头的“曝光”也不少.尽管如此,这并没有危险.

作者: dawei

【声明】:滨州站长网内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

为您推荐

联系我们

联系我们

0577-28828765

在线咨询: QQ交谈

邮箱: xwei067@foxmail.com

工作时间:周一至周五,9:00-17:30,节假日休息

返回顶部