详细描述 | 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 |
解决办法 | web应用程序应该使用SERVER_NAME而不是host header。 |
在下面位置添加:server="unknowServer"
详细描述 | 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 |
解决办法 | web应用程序应该使用SERVER_NAME而不是host header。 |
在下面位置添加:server="unknowServer"