什么是 HTTP 主机标头?
从 HTTP/1.1 开始,HTTP Host 标头是强制性的请求标头。它指定客户端要访问的域名。例如,当用户访问 时https://xxx.com,他们的浏览器将编写一个包含 Host 标头的请求,如下所示:
GET /web-security HTTP/1.1 Host: xxx.com
HTTP Host 标头的目的是帮助识别客户端想要与之通信的后端组件。
HTTP Host 头攻击漏洞
使用HTTP代理工具,可以篡改HTTP报文头部中HOST字段时,该值可被注入恶意代码。因为需要控制客户端的输入,故该漏洞较难利用。
解决方案:
在JAVA公共请求拦截器类中,新增对HOST头信息的校验,检查请求HOST头是否与官网域名一致,防止HOST头信息被恶意篡改利用。该方案与Referer校验方案类似。
//系统官网域名配置
String official_website="www.xxx.com";
String host= request.getHeader("Host");
if(!host.endsWith(official_website))
{
OutputStream output = response.getOutputStream();
output.write("请求数据非法".getBytes());
output.flush();
output.close();
return null;
}
