【待反馈】网站开启SSL之后，HOST配置失效

面板：8.1.0

插件版本：nginx 1.22.1   php： 5.6

系统版本：CentOS 7

问题描述：请教各位大佬，因网站检查出来有Host头攻击漏洞，需要修复，经过使用ModHeader做HOST攻击测试发现，只要网站没有开启SSL，那么Host配置是生效的；只要是网站开启了SSL配置，那么Host配置就不生效，并且未开启SSL的网站检查是可以看到请求标头中的HOST

开启HTTPS后，网站检查处请求标头中是没有HOST的

百度上搜索出来均是在NGINX上添加如下代码，但是均不生效

1. server {
   
2.      listen 80 default_server;
   
3.      server_name  _;
   
4.      access_log off;
   
5.      return 403;
   
6. }

复制代码

1、防火墙应该是没有问题的，因为网站未开启SSL时,HOST是正常的
2、浏览器缓存应该也没问题，已经清过很多次，并且换过电脑测试
3、服务器也已多次重启，SSL证书也检查是正常的

在此请问有没有大佬能给出点提示或者思路从哪里调整

您好，可以通过下面的思路排查一下：

1、检查Web服务器的SSL/TLS配置，确保它正确地处理了Host头。不同的Web服务器（如Apache、Nginx、IIS等）有不同的配置方式和参数
2、如果你的应用（如PHP、Node.js、Python等）有处理HTTP请求的中间件或框架，检查它们是否正确地处理了Host头，特别是当使用HTTPS时
3、虽然你已经检查过SSL证书是正常的，但请确保中间设备（如负载均衡器、CDN、WAF等）也支持SSL，并且它们的配置没有阻止或修改Host头
4、如果你的网站使用了SNI（Server Name Indication），确保所有中间设备都支持SNI，并且配置正确