2

Django 团队将主机头中毒(CVE-2011-4139 和 CVE-2012-4520)视为必须在框架级别解决的安全问题。例如,金字塔(即其底层的低级请求包装器——webob)并不认为这是一个问题。

在生产和开发机器上,我有 nginx,SERVER_NAME即使Host标头包含完整的垃圾,它似乎也可以通过,并且如果没有匹配,则以444 No response 响应server_name

问题:如果我使用构建绝对 URL ,我是否应该担心Host这种情况下的标头中毒?SERVER_NAME

4

1 回答 1

2

如果您使用 nginx 清理 HTTP_HOST 和 SERVER_NAME 字段,那么您做的是正确的事情,无需担心 Host 标头中毒。

与 Django 一样,Pyramid 将其中很大一部分视为 WSGI 主机环境的任务。nginx 在清理 HTTP 请求信息方面做得非常出色,久经沙场。

于 2013-03-23T14:06:22.493 回答