Django团队认为主机标头中毒(CVE-2011-4139和CVE-2012-4520)是一个必须在框架级别解决的安全问题。例如,金字塔(即其底层的低级请求包装器 - webob)并不认为这是一个问题。
生产与生产开发机器我有nginx似乎传递了正确的SERVER_NAME,即使Host标头包含完整的垃圾,如果没有匹配的444 No response也会响应server_name。
问题:如果我使用Host构建绝对网址,我是否应该担心SERVER_NAME标头中毒?
答案 0 :(得分:2)
如果您使用nginx来清理HTTP_HOST和SERVER_NAME字段,那么您正在做正确的事情,不必担心主机标头有问题。
与Django一样,Pyramid认为其中很大一部分是WSGI主机环境的任务。而且nginx在处理HTTP请求信息方面做了一项非常好的,经过实战训练的工作。