Apache 的 ServerAlias 的普通萬用字元

ServerAlias *在 Apache 配置中使用是否有任何可能的問題？

我考慮過的一件事：ServerAlias基於客戶端傳遞的 HTTP 標頭中的 HTTP_HOST，顯然可以由客戶端手動修改。使用者是否可以通過 HTTP_HOST 發送任何可能對伺服器有害/損壞的值？

嗯，應該不需要那個。如果沒有其他VirtualHosts主機名匹配，伺服器將使用預設虛擬主機，這是配置中的第一個虛擬主機。因此預設的虛擬主機通常命名為000-default; 只是為了成為第一名/etc/apache2/sites-enabled。

因此，您可以通過將符號連結重命名為第一個來獲得相同的結果sites-enabled。或者您可以將000-default其重定向到您的實際域。

我認為目前 Apache 中沒有任何已知漏洞可以僅使用HTTP_HOST. 但是，這取決於您在預設虛擬主機上執行的應用程序，例如允許通過HTTP_HOST. 實際上，通過000-default僅進行重定向，您還可以防止這種（次要）風險。

引用自：https://serverfault.com/questions/684637