如何禁用空主机头

一、Nginx 空主机头禁止 如果 Nginx 配置了空主机头,那么任意域名解析指向到服务器IP,都可以访问站点,为了防止域名解析恶意指向主机,可以将 Nginx 默认的空主机头禁止,方法是通过修改 Nginx 的主配置文件 nginx.conf ,使其主机头返回错误信息 500

nginx配置默认路径:/usr/local/nginx/conf/nginx.conf

  1. 直接屏蔽未绑定域名的虚拟主机访问,返回500错误(这个错误信息可以自定义):
server
{
     listen  80;
     return 500;
}
  1. 可以做一个URL重写,把访问的流量导入到需要的网站,比如说网站的主页,配置的时候https://www.joshua317.net替换成需要的URL即可:
server
{
  listen 80 default;
  rewrite ^(.*) http://www.joshua317.com permanent; 
}
  1. 禁止空主机头的同时也禁止通过IP访问,可以写成:
server
{
  listen 80 default;
  server_name _;
  return 500;
}

这里的配置需要添加到 nginx 主配置文件里,和主配置文件的 server 并列成同一层级,可以参考下图:

 

 

二、Apache 空主机头禁止 防止域名解析,禁止apache默认的空主机头: apache配置默认路径:/etc/httpd/conf/httpd.conf

  1. 编辑配置文件,在站点配置之前再增加一个站点(上面是需要增加的站点配置,下面是正在使用的站点配置)
<VirtualHost *:80>
ServerName *****
ErrorDocument 404 /404.html
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
</Directory>
</VirtualHost>
<VirtualHost *:80>
ServerName www.joshua317.com
DocumentRoot "/var/www/html"
</VirtualHost>
  1. apache将第一个virtualhost作为默认配置,然后依次向下查找,如果有匹配中的,则采用新匹配到的配置项

这样就可以将允许的访问主机头之外的恶意解析请求拦截在外;

 

posted @ 2024-03-08 15:10  joshua317  阅读(20)  评论(0编辑  收藏  举报