如何禁用空主机头
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/309
一、Nginx 空主机头禁止 如果 Nginx 配置了空主机头,那么任意域名解析指向到服务器IP,都可以访问站点,为了防止域名解析恶意指向主机,可以将 Nginx 默认的空主机头禁止,方法是通过修改 Nginx 的主配置文件 nginx.conf ,使其主机头返回错误信息 500
nginx配置默认路径:/usr/local/nginx/conf/nginx.conf
- 直接屏蔽未绑定域名的虚拟主机访问,返回500错误(这个错误信息可以自定义):
server
{
listen 80;
return 500;
}
- 可以做一个URL重写,把访问的流量导入到需要的网站,比如说网站的主页,配置的时候https://www.joshua317.net替换成需要的URL即可:
server
{
listen 80 default;
rewrite ^(.*) http://www.joshua317.com permanent;
}
- 禁止空主机头的同时也禁止通过IP访问,可以写成:
server
{
listen 80 default;
server_name _;
return 500;
}
这里的配置需要添加到 nginx 主配置文件里,和主配置文件的 server 并列成同一层级,可以参考下图:
二、Apache 空主机头禁止 防止域名解析,禁止apache默认的空主机头: apache配置默认路径:/etc/httpd/conf/httpd.conf
- 编辑配置文件,在站点配置之前再增加一个站点(上面是需要增加的站点配置,下面是正在使用的站点配置)
<VirtualHost *:80>
ServerName *****
ErrorDocument 404 /404.html
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName www.joshua317.com
DocumentRoot "/var/www/html"
</VirtualHost>
- apache将第一个virtualhost作为默认配置,然后依次向下查找,如果有匹配中的,则采用新匹配到的配置项
这样就可以将允许的访问主机头之外的恶意解析请求拦截在外;
本文为joshua317原创文章,转载请注明:转载自joshua317博客 https://www.joshua317.com/article/309
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· Manus重磅发布:全球首款通用AI代理技术深度解析与实战指南
· 被坑几百块钱后,我竟然真的恢复了删除的微信聊天记录!
· 没有Manus邀请码?试试免邀请码的MGX或者开源的OpenManus吧
· 园子的第一款AI主题卫衣上架——"HELLO! HOW CAN I ASSIST YOU TODAY
· 【自荐】一款简洁、开源的在线白板工具 Drawnix
2021-03-08 算法-排序算法-插入排序
2021-03-08 算法-排序算法-选择排序