0

我有一个模块化 Zend Framework 应用程序,我想将其用作具有不同域的多个网站的基础,即:

  • mywebsite.com
  • mydifferentwebsite.com
  • mythirdwebsite.com

我想从同一个代码库和同一个服务器上运行所有这些网站。我想根据主机名更改不同的设置,例如样式或可用页面。

目前这是我获取主机名的方式:

$requestSiteUrl = $this->serviceLocator->get('URLRequest')->getServer('HTTP_HOST');

但是我不确定这有多可靠。有没有更好的方法来找出请求来自哪个网站?

这是我用于服务器上不同网站的 Nginx 配置示例:

server {
        listen 80;
        server_name mywebsite.com;

        root /var/www/mywebsite/public;
        index index.php;

        server_tokens off;

        if (!-e $request_filename) {
                rewrite ^.*$ /index.php last;
        }

        location ~ \.php$ {
                fastcgi_pass 127.0.0.1:9000;
                fastcgi_index index.php;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
                fastcgi_param APPLICATION_ENV develop;
                fastcgi_param PHP_VALUE "error_log=/var/log/php/mywebsite_php_errors.log";
                include /etc/nginx/fastcgi_params;
        }
}
4

1 回答 1

0

正在做:

$requestSiteUrl = $this->serviceLocator->get('URLRequest')->getServer('HTTP_HOST');

是另一种做法:

$_SERVER['HTTP_HOST']

(但显然在未设置变量时效果更好)。所以是的,这是找出 nginx 认为被请求的域的好方法。从技术上讲,如果出现以下情况,则存在安全漏洞:

  • 有人只是Host根据他们的请求修改了标题。

  • 如果您的站点位于不同的 IP 地址上,并且有人编辑他们的主机文件以获得服务器的“错误”IP,然后向该“错误”IP 地址发出请求。

然后你可能会出现错误的站点名称。

如果您的所有网站都在同一个 IP 上,那么您对这种欺骗无能为力。如果它们都在不同的 IP 地址上,并且您将 Nginx 设置为server每个主机使用一个,并且它们只是在侦听分配的 IP 地址,那么您可以更改为使用

$_SERVER['SERVER_NAME']

或 Zend 等价物。

那只会给你server_name配置文件中的条目定义的服务器名称,并且是不可欺骗的。

只要您不使任何安全性依赖于正确的服务器名称,那么您就不会有问题。即当人们登录到一个站点时,他们不应该也登录到其他站点,因为每个站点的会话名称应该是唯一的。

于 2013-03-15T13:29:51.877 回答