域名访问限制不严格漏洞 修复
背景
2022年9月22日13:35:05
上午正在自习室"乱杀"考研数学题,一个网警大队的电话打来...
他告诉我,我的网站存在域名访问限制不严格漏洞
文件内容
啥意思?
网上了解了下,就是没有限制用户直接用IP访问网站
图中的方式是不被允许的,我们要强制让用户用域名 www.hugboy.site 来访问,否则就不提供服务
修复方法
在配置文件nginx.conf的服务server里,加上判断代码
if ($host != 'www.hugboy.site') {
return 403;
}
我后台用的宝塔,修改很方便
检查用户请求host是否为域名,否则返回403
修复结果
此时用IP地址无法访问
域名访问正常
参考
________________________________________________________
Every good deed you do will someday come back to you.
Love you,love word !