今天在一台 CENTOS7 服务器上安装了宝塔面板,一切顺利正常。但是被绿盟扫描出来以下问题:
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 |
由于这个问题的存在,安全组不让我访问宝塔的后台(8888端口的后台),我也就无法安装环境和应用。对方给出的解决方案是:
web应用程序应该使用SERVER_NAME而不是hostheader。 在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非法host header。在Nginx里还可以通过指定一个SERVER_NAME名单,Apache也可以通过指定一个SERVER_NAME名单并开启UseCanonicalName选项。
但是我不知道怎么修改?因为服务器上除了宝塔面板,尚未安装 apache和nginx等环境。
请问该如何处理,如果没办法处理,我只能改用 Oneinstack 了,之前一直用 OIS,朋友推荐用了宝塔,结果第一步就卡住了。
谢谢
|