域名访问限制不严格漏洞 修复

背景

2022年9月22日13:35:05
上午正在自习室"乱杀"考研数学题，一个网警大队的电话打来...
他告诉我，我的网站存在域名访问限制不严格漏洞

文件内容

啥意思？

网上了解了下，就是没有限制用户直接用IP访问网站

图中的方式是不被允许的，我们要强制让用户用域名 www.hugboy.site 来访问，否则就不提供服务

修复方法

在配置文件nginx.conf的服务server里，加上判断代码

if ($host != 'www.hugboy.site') {
      return 403;
  }

我后台用的宝塔，修改很方便

检查用户请求host是否为域名，否则返回403

修复结果

此时用IP地址无法访问

域名访问正常

参考

nginx禁止IP访问，仅供域名访问(域名访问限制不严格漏洞)