tomcat设置预防host头攻击

tomcat设置预防host头攻击

    • [1 host攻击](#1 host攻击)
    • [2 解决办法](#2 解决办法)

1 host攻击

就是我请求的时候 改变header中的host的值 也能访问成功

正确的

java 复制代码
curl -H "Host: www.yq.com" http://www.yq.com:8080/

错误的 给一个百度的域名

bash 复制代码
   curl -H "Host: www.baidu.com" http://www.yq.com:8080/

这样也能访问成功 但是这样是不正确的,正确的应该访问不了 避免产生安全隐患

2 解决办法

修改tomcat的server.xml配置

bash 复制代码
 <Engine name="Catalina" defaultHost="invalid.host">
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>
<Host name="www.yq.com" appBase="webapps"
                  unpackWARs="true" autoDeploy="true">
 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
       <Alias>192.168.18.60</Alias>
       <Alias>127.0.0.1</Alias
</Host>
<Host name="invalid.host" appBase="webapps/none" unpackWARs="true" autoDeploy="false">
    <Valve className="org.apache.catalina.valves.ErrorReportValve" errorCode.400="Invalid Host" />
</Host>
</Engine>

修改地方

1 首先就是Engine 的defaultHost不使用默认的localhost 而是自定义一个Host,这样就能统一处理这个错误

2 修改Host 的name 把localhost改成域名地址 然后加上白名单Alias就是本机的ip和本地

3 定义一个错误的Host

修改以后重启就行

相关推荐
Flittly10 小时前
【AgentScope Java新手村系列】(16)从RAG到多路检索
java·spring boot·spring
小兔崽子去哪了10 小时前
Java 生成二维码解决方案
java·后端
人活一口气15 小时前
从JVM调优到MCP协议:Java全栈技术体系深度总结与企业级架构实践
java·spring boot
NE_STOP16 小时前
Vibe Coding -- 完整项目案例实操
java
荣码16 小时前
GraphRAG:普通RAG只能回答"点"的问题,我踩了4个坑才搞懂
java·python
SimonKing16 小时前
Google第三方授权登录
java·后端·程序员
明月光81816 小时前
从一行 @Builder 说起:重新拾起 Java 的 Lombok、注解与 Builder 模式
java
考虑考虑1 天前
Mybatis实现批量插入
java·后端·mybatis
咖啡八杯1 天前
GoF设计模式——中介者模式
java·后端·spring·设计模式
青石路1 天前
记一次多JDK版本问题的排查,一坑套一坑,差点没爬上来
java