Django 团队将主机头中毒(CVE-2011-4139 和 CVE-2012-4520)视为必须在框架级别解决的安全问题。例如,金字塔(即其底层的低级请求包装器——webob)并不认为这是一个问题。
在生产和开发机器上,我有 nginx,SERVER_NAME
即使Host
标头包含完整的垃圾,它似乎也可以通过,并且如果没有匹配,则以444 No response 响应server_name
。
问题:如果我使用构建绝对 URL ,我是否应该担心Host
这种情况下的标头中毒?SERVER_NAME