Apache的ServerAlias通配符

Question

在Apache配置中使用ServerAlias *是否存在任何可能的问题？

我考虑的一件事是：ServerAlias基于客户端交付的headers中的HTTP_HOST，客户端显然可以手动修改它。用户是否可以通过HTTP_HOST发送任何可能对服务器有害/损坏的值？

Answer 1

嗯，不应该有这个必要的。如果其他VirtualHosts中没有一个与主机名匹配，服务器将使用默认的虚拟主机，这是配置中的第一个虚拟主机。因此，默认的虚拟主机通常命名为000-default；只是为了成为/etc/apache2/sites-enabled中的第一位。

因此，您可以通过将sites-enabled中的符号链接重命名为第一个来实现相同的结果。或者，您可以使000-default重定向到您的实际域。

我认为目前Apache中没有任何已知的漏洞可以只使用HTTP_HOST。但是，这取决于在默认虚拟主机上运行的应用程序，例如允许通过HTTP_HOST修改一些可利用变量的PHP脚本。实际上，通过使000-default只是一个重定向，您还可以防止(较小的)风险。