Apache-2.2

Apache 的 ServerAlias 的普通萬用字元

  • September 22, 2015

ServerAlias *在 Apache 配置中使用是否有任何可能的問題?

我考慮過的一件事:ServerAlias基於客戶端傳遞的 HTTP 標頭中的 HTTP_HOST,顯然可以由客戶端手動修改。使用者是否可以通過 HTTP_HOST 發送任何可能對伺服器有害/損壞的值?

嗯,應該不需要那個。如果沒有其他VirtualHosts主機名匹配,伺服器將使用預設虛擬主機,這是配置中的第一個虛擬主機。因此預設的虛擬主機通常命名為000-default; 只是為了成為第一名/etc/apache2/sites-enabled

因此,您可以通過將符號連結重命名為第一個來獲得相同的結果sites-enabled。或者您可以將000-default其重定向到您的實際域。

我認為目前 Apache 中沒有任何已知漏洞可以僅使用HTTP_HOST. 但是,這取決於您在預設虛擬主機上執行的應用程序,例如允許通過HTTP_HOST. 實際上,通過000-default僅進行重定向,您還可以防止這種(次要)風險。

引用自:https://serverfault.com/questions/684637