那些遇到过的问题

nginx - 使用 $http_host 危险吗?

Cpp*_*ner 4 nginx

从我自己的答案来看,我必须替换$host$http_host才能解决我的问题......

但这安全吗?

似乎$http_host所做的一切都是从标头中暴露整个内容HOST这里的解释对我来说仍然不清楚......

有谁知道为什么会$http_host更危险?

编辑

实际上,这是我的第三次编辑......读完后我应该重新考虑我的立场: https ://stackoverflow.com/questions/1459739/php-serverhttp-host-vs-serverserver-name-am-i-understanding -the-ma

我不确定 nginx 对此有何反应,但是你们认为 nginx 是否也符合 Chris 的测试结果,即两者都不安全?

什么情况下,使用$http_host时你能想到利用的办法吗?此外,为什么删除端口号很重要?

我知道有可能破坏网络,并发送一些信息Host: fake or old ip,然后在我在其他地方读到时执行重新绑定攻击?

mgo*_*ven 5

$host只是$http_host进行一些处理(剥离端口号和小写)和默认值(的),因此在使用 时,客户端发送的标头server_name的“暴露”并没有减少。不过这并没有什么危险。Host$http_host

归档时间:

查看次数:

6914 次

最近记录:

11 年,2 月 前
Nginx - 当隧道 url 在没有端口号的情况下重定向时 2
更多相关链接
相关归档
如何更改 NGINX 用户? 52
Nginx $document_root$fastcgi_script_name 与 $request_filename 19
Shellshock:我如何知道我的服务器是否受到威胁 + 需要注意的可疑文件 18
Nginx重复默认服务器错误 8
Nginx 不提供大文件 6
如何设置 date.timezone 以及正确的位置是什么 5
nginx 使用代理协议与 Kubernetes 集群 4
你如何在 Nginx 上运行 Smokeping? 3
在 AWS 上运行 nginx 会发回“ERR_CONNECTION_TIMED_OUT”响应 2
nginx 限制目录访问 1
难疑归档
如何从网站下载 ssl 证书? 222
rsync 中的归档模式是什么? 215
如何在 spf TXT 记录中包含多个域 208
是否可以在没有密码的情况下生成 RSA 密钥? 137
优雅地重启 CentOS 的最佳方式? 101
Apache2 配置变量未定义 78
禁止在所有运行级别启动服务? 66
在 Bash 中,通配符扩展是否保证有序? 65
Route 53 不允许添加 DKIM 密钥,因为长度太长 57
如何使用 xauth 通过其他用户在 linux 上运行图形应用程序 55