Host头攻击-使用安全的Web服务器配置

Nginx配置示例

在Nginx中，你可以通过修改配置文件来验证HTTP Host头，确保它符合预期的值。以下是一个简单的配置示例：

1.添加HTTP Host头验证规则：

在Nginx的配置文件中，找到针对目标URL的相关配置块，并添加以下配置来验证HTTP Host头。例如，假设预期的合法Host头是"Example Domain"：

server {  
    listen 80;  
    server_name www.example.com;  
 
    # 添加Host头验证规则  
    if ($http_host !~* ^(www\.example\.com)$ ) {  
        return 444;  # 返回444状态码，关闭连接  
    }  
 
    # 其他配置项...  
}

注意：return 444;将关闭连接而不发送任何响应。这是为了防止攻击者获取任何有关服务器配置的信息。

2.使用server_name指令限制合法的Host头：

在Nginx的虚拟主机配置中，你可以使用server_name指令来指定预期的合法Host头。只有请求中的Host头与server_name指令中定义的值匹配时，Nginx才会将请求路由到该虚拟主机。

server {  
    listen 80;  
    server_name www.example.com example.com;  # 允许www.example.com和example.com  
 
    # 其他配置项...  
}

3.启用strict_host_header选项（如果适用）：

在某些情况下，你可能希望Nginx仅接受请求中的Host头，而不会根据请求行中的主机名来处理请求。这可以通过在特定虚拟主机配置中启用strict_host_header选项来实现（尽管这不是Nginx的内置指令，可能需要自定义配置或使用第三方模块）。

Tomcat配置示例

在Tomcat中，你可以通过修改server.xml文件来增强对Host头字段的处理。以下是一个配置示例：

1.修改节点配置：

在Tomcat的conf/server.xml文件中，找到节点，并添加或修改配置以指定合法的Host头。不过，Tomcat本身并不直接支持基于Host头的验证规则，但你可以通过配置虚拟主机或使用过滤器来实现类似的功能。

<Host name="www.example.com" appBase="webapps" unpackWARs="true" autoDeploy="true">  
    <!-- 其他配置项... -->  
 
    <!-- 如果需要，可以添加Valve来处理请求，例如使用AccessLogValve进行日志记录 -->  
    <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"  
           prefix="localhost_access_log" suffix=".txt"  
           pattern="%h %l %u %t &quot;%r&quot; %s %b" resolveHosts="false"/>  
</Host>

注意：在Tomcat中，通常不建议依赖request.getServerName()来获取Host头，因为它可能被篡改。相反，你可以使用request.getHeader("Host")来获取原始的Host头值，并进行适当的验证。

2.自定义过滤器：

如果Tomcat的内置功能不足以满足你的需求，你可以编写自定义的过滤器来处理HTTP请求，并在其中验证Host头字段。这涉及到编写Java代码，并将其打包为WAR文件部署到Tomcat中。

import javax.servlet.*;  
import javax.servlet.http.HttpServletRequest;  
import java.io.IOException;  
  
public class HostHeaderFilter implements Filter {  
  
    @Override  
    public void init(FilterConfig filterConfig) throws ServletException {  
        // 初始化方法，可以在这里读取配置参数等  
    }  
  
    @Override  
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
            throws IOException, ServletException {  
  
        HttpServletRequest httpRequest = (HttpServletRequest) request;  
        String hostHeader = httpRequest.getHeader("Host");  
  
        // 这里可以添加自定义的验证逻辑  
        // 例如，检查hostHeader是否符合预期的格式或值  
        if (hostHeader == null || !isValidHost(hostHeader)) {  
            // 如果Host头字段无效，可以返回错误响应或重定向到其他页面  
            ((HttpServletResponse) response).sendError(HttpServletResponse.SC_BAD_REQUEST, "Invalid Host header");  
            return;  
        }  
  
        // 如果Host头字段有效，则继续处理请求  
        chain.doFilter(request, response);  
    }  
  
    @Override  
    public void destroy() {  
        // 销毁方法，可以在这里清理资源等  
    }  
  
    private boolean isValidHost(String hostHeader) {  
        // 在这里添加验证Host头字段的逻辑  
        // 示例：检查它是否包含预期的域名  
        return hostHeader.contains("example.com");  
    }  
}

然后，你需要在web.xml文件中配置这个过滤器，以便它在Tomcat启动时加载并应用到你的web应用程序上：

<web-app ...>
...
<filter>  
    <filter-name>HostHeaderFilter</filter-name>  
    <filter-class>com.yourpackage.HostHeaderFilter</filter-class>  
</filter>  

<filter-mapping>  
    <filter-name>HostHeaderFilter</filter-name>  
    <url-pattern>/*</url-pattern> <!-- 应用到所有请求 -->  
</filter-mapping>  

...  
</web-app>

注意替换com.yourpackage.HostHeaderFilter为你的HostHeaderFilter类所在的包和类名。

最后，将你的Java代码和web.xml文件打包为一个WAR文件，并部署到Tomcat中。这样，每次有HTTP请求到达你的web应用程序时，都会首先通过HostHeaderFilter进行验证