Apache-2.2
Apache 的 ServerAlias 的普通萬用字元
ServerAlias *
在 Apache 配置中使用是否有任何可能的問題?我考慮過的一件事:
ServerAlias
基於客戶端傳遞的 HTTP 標頭中的 HTTP_HOST,顯然可以由客戶端手動修改。使用者是否可以通過 HTTP_HOST 發送任何可能對伺服器有害/損壞的值?
嗯,應該不需要那個。如果沒有其他
VirtualHosts
主機名匹配,伺服器將使用預設虛擬主機,這是配置中的第一個虛擬主機。因此預設的虛擬主機通常命名為000-default
; 只是為了成為第一名/etc/apache2/sites-enabled
。因此,您可以通過將符號連結重命名為第一個來獲得相同的結果
sites-enabled
。或者您可以將000-default
其重定向到您的實際域。我認為目前 Apache 中沒有任何已知漏洞可以僅使用
HTTP_HOST
. 但是,這取決於您在預設虛擬主機上執行的應用程序,例如允許通過HTTP_HOST
. 實際上,通過000-default
僅進行重定向,您還可以防止這種(次要)風險。