Назад | Перейти на главную страницу

Как веб-серверы должны обрабатывать запросы с неправильным заголовком Host?

Я получаю несколько запросов на свой сайт с Host заголовок установлен неправильно (чаще всего на IP-адрес, а не на доменное имя). Сейчас я возвращаюсь 400 Bad Request. Я думаю вернуться 301 или 302, но не уверен, что это хорошая идея.

Что лучше всего, когда клиент устанавливает Host заголовок неправильно?

Я бы сказал, что все должно отправлять действительное поле хоста, кроме некоторых ботов и других автоматических сканеров.

Использование HTTP / 1.0 (у которого не было заголовка hosts) сегодня в основном равно нулю, и, опять же, все, что все еще использует это, вероятно, не то, что вам нужно или не нужно на вашем сайте.

Так что для меня существует ограниченная ценность 301 или 302 таких запросов, и они могут в конечном итоге последовать этому и снова попасть на ваш сайт, тратя ваши ресурсы.

Наконец, вы, вероятно, слишком много времени беспокоитесь об этом. Нежелательные запросы являются неотъемлемой частью работы общедоступного интернет-сайта, и по большей части их лучше игнорировать, чем тратить на них время. Если вы обеспокоены, вы можете установить WAF, чтобы отфильтровать подобные вещи.

Каково текущее поведение вашего веб-сервера, отображаете ли вы реальный сайт при обработке запросов на отсутствие Host: заголовки и / или Host:-заголовки с неизвестными DNS-именами?

Если вы в настоящее время показываете реальный сайт и хотите изменить его перед тем, как это сделать, вы можете сначала выяснить, есть ли у вас какие-либо:

  • реальные клиенты, которые все еще используют протокол HTTP уровня 1.0, у которых не было Host: заголовка пока нет.

В этом случае вам может потребоваться учесть их, сохранив текущее поведение (по крайней мере, для этих конкретных клиентов).

Возможно, есть некоторая ценность в том, чтобы не отображать реальный веб-сайт в ответ на недействительные запросы, хотя бы для того, чтобы сохранить часть мусора, который сетевые сканеры / веб-сканеры / боты создают из журналов для ваших реальных сайтов.