如何禁用空主机头
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/309
一、Nginx 空主机头禁止 如果 Nginx 配置了空主机头,那么任意域名解析指向到服务器IP,都可以访问站点,为了防止域名解析恶意指向主机,可以将 Nginx 默认的空主机头禁止,方法是通过修改 Nginx 的主配置文件 nginx.conf ,使其主机头返回错误信息 500
nginx配置默认路径:/usr/local/nginx/conf/nginx.conf
- 直接屏蔽未绑定域名的虚拟主机访问,返回500错误(这个错误信息可以自定义):
server
{
listen 80;
return 500;
}
- 可以做一个URL重写,把访问的流量导入到需要的网站,比如说网站的主页,配置的时候https://www.joshua317.net替换成需要的URL即可:
server
{
listen 80 default;
rewrite ^(.*) http://www.joshua317.com permanent;
}
- 禁止空主机头的同时也禁止通过IP访问,可以写成:
server
{
listen 80 default;
server_name _;
return 500;
}
这里的配置需要添加到 nginx 主配置文件里,和主配置文件的 server 并列成同一层级,可以参考下图:
二、Apache 空主机头禁止 防止域名解析,禁止apache默认的空主机头: apache配置默认路径:/etc/httpd/conf/httpd.conf
- 编辑配置文件,在站点配置之前再增加一个站点(上面是需要增加的站点配置,下面是正在使用的站点配置)
<VirtualHost *:80>
ServerName *****
ErrorDocument 404 /404.html
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName www.joshua317.com
DocumentRoot "/var/www/html"
</VirtualHost>
- apache将第一个virtualhost作为默认配置,然后依次向下查找,如果有匹配中的,则采用新匹配到的配置项
这样就可以将允许的访问主机头之外的恶意解析请求拦截在外;
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/309