tomcat设置预防host头攻击

tomcat设置预防host头攻击

    • [1 host攻击](#1 host攻击)
    • [2 解决办法](#2 解决办法)

1 host攻击

就是我请求的时候 改变header中的host的值 也能访问成功

正确的

java 复制代码
curl -H "Host: www.yq.com" http://www.yq.com:8080/

错误的 给一个百度的域名

bash 复制代码
   curl -H "Host: www.baidu.com" http://www.yq.com:8080/

这样也能访问成功 但是这样是不正确的,正确的应该访问不了 避免产生安全隐患

2 解决办法

修改tomcat的server.xml配置

bash 复制代码
 <Engine name="Catalina" defaultHost="invalid.host">
      <Realm className="org.apache.catalina.realm.LockOutRealm">
        <Realm className="org.apache.catalina.realm.UserDatabaseRealm"
               resourceName="UserDatabase"/>
      </Realm>
<Host name="www.yq.com" appBase="webapps"
                  unpackWARs="true" autoDeploy="true">
 <Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
               prefix="localhost_access_log" suffix=".txt"
               pattern="%h %l %u %t &quot;%r&quot; %s %b" />
       <Alias>192.168.18.60</Alias>
       <Alias>127.0.0.1</Alias
</Host>
<Host name="invalid.host" appBase="webapps/none" unpackWARs="true" autoDeploy="false">
    <Valve className="org.apache.catalina.valves.ErrorReportValve" errorCode.400="Invalid Host" />
</Host>
</Engine>

修改地方

1 首先就是Engine 的defaultHost不使用默认的localhost 而是自定义一个Host,这样就能统一处理这个错误

2 修改Host 的name 把localhost改成域名地址 然后加上白名单Alias就是本机的ip和本地

3 定义一个错误的Host

修改以后重启就行

相关推荐
超级晒盐人2 小时前
用落霞归雁的思维框架推导少林寺用什么数据库?
java·python·系统架构·学习方法·教育电商
岁忧2 小时前
(LeetCode 面试经典 150 题) 138. 随机链表的复制 (哈希表)
java·c++·leetcode·链表·面试·go
鹦鹉0072 小时前
IO流中的字节流
java·开发语言·后端
你我约定有三3 小时前
分布式微服务--Nacos作为配置中心(二)
java·分布式·spring cloud·微服务·架构·wpf·负载均衡
qq_165706073 小时前
java实现运行SQL脚本完成数据迁移
java·sql
apocelipes3 小时前
atomic不是免费午餐
java·性能优化·golang·并发
A了LONE3 小时前
cv弹窗,退款确认弹窗
java·服务器·前端
蔡楚门3 小时前
福彩双色球第2025088期篮球号码分析
java
慕y2744 小时前
Java学习第九十六部分——Eureka
java·学习·eureka
头发那是一根不剩了4 小时前
信创应用服务器TongWeb安装教程、前后端分离应用部署全流程
java·信创·tongweb