tomcat设置预防host头攻击

tomcat设置预防host头攻击

    • [1 host攻击](#1 host攻击)
    • [2 解决办法](#2 解决办法)

1 host攻击

就是我请求的时候 改变header中的host的值 也能访问成功

正确的

java 复制代码
curl -H "Host: www.yq.com" http://www.yq.com:8080/

错误的 给一个百度的域名

bash 复制代码
   curl -H "Host: www.baidu.com" http://www.yq.com:8080/

这样也能访问成功 但是这样是不正确的,正确的应该访问不了 避免产生安全隐患

2 解决办法

修改tomcat的server.xml配置

bash 复制代码
 <Engine name="Catalina" defaultHost="invalid.host">
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>
<Host name="www.yq.com" appBase="webapps"
                  unpackWARs="true" autoDeploy="true">
 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
       <Alias>192.168.18.60</Alias>
       <Alias>127.0.0.1</Alias
</Host>
<Host name="invalid.host" appBase="webapps/none" unpackWARs="true" autoDeploy="false">
    <Valve className="org.apache.catalina.valves.ErrorReportValve" errorCode.400="Invalid Host" />
</Host>
</Engine>

修改地方

1 首先就是Engine 的defaultHost不使用默认的localhost 而是自定义一个Host,这样就能统一处理这个错误

2 修改Host 的name 把localhost改成域名地址 然后加上白名单Alias就是本机的ip和本地

3 定义一个错误的Host

修改以后重启就行

相关推荐
阿波罗尼亚13 分钟前
ExcelUtils实现 设置内容 插入行 复制行列格式
java·开发语言
Monkey-旭20 分钟前
Android 定位技术全解析:从基础实现到精准优化
android·java·kotlin·地图·定位
带刺的坐椅20 分钟前
Solon StateMachine 实现状态机使用示例详解
java·solon·状态机
Yyyy48235 分钟前
MyCAT高可用
java·运维
华仔啊1 小时前
final在Java中到底有啥用?5个实际场景告诉你
java·后端
the beard1 小时前
Maven 入门与进阶:聚合、继承与生命周期详解
java
csdn_aspnet1 小时前
解决 Spring Boot 应用程序中的“无法配置数据源”错误
java·spring boot
灵魂猎手2 小时前
9. Mybatis与Spring集成原理解析
java·后端·源码
AAA修煤气灶刘哥2 小时前
避坑!线程 / 线程池从入门到华为云实战,面试官听了都点头
java·后端·面试
Agome993 小时前
Docker之nginx安装
java·nginx·docker