在我的应用程序中,实际上可以诱导应用程序执行任意域名的服务器端 DNS 查找,因为 X-Forwarded-For 请求标头值被服务器盲目信任。
当有人将带有 X-Forwarded-For 请求标头的请求作为“易受攻击的服务器”(例如:X-Forwarded-For:evilsrver.net)截获时,如何在此处防止 DNS 查找。
我发现这张有趣的票https://github.com/akka/akka/issues/19388 建议进行主机过滤。
有没有其他方法可以解决这个问题?
在我的应用程序中,实际上可以诱导应用程序执行任意域名的服务器端 DNS 查找,因为 X-Forwarded-For 请求标头值被服务器盲目信任。
当有人将带有 X-Forwarded-For 请求标头的请求作为“易受攻击的服务器”(例如:X-Forwarded-For:evilsrver.net)截获时,如何在此处防止 DNS 查找。
我发现这张有趣的票https://github.com/akka/akka/issues/19388 建议进行主机过滤。
有没有其他方法可以解决这个问题?