host攻击
系统上线之前要经过安全测试,安全测试中有这么一项,请求头中的host字段,这个值随便修改之后,响应还可以正常返回,这种这种就是有风险的,是测试不通过的,默认情况下,浏览器地址栏中的URL和请求头中的host字段值的ip和端口(或者是域名)是一样的,进行安全测试的时候使用会使用拦截工具,把请求头中的host头进行篡改。
nginx防护
在nginx.config的server块中配置
if ($http_Host !~* ^(localhost|自己的ip:自己的端口|域名) )
{ return 403;
}
视频演示地址:请访问
