出于安全目的,我登录了捕获PHP $ _SERVER信息的Web应用程序。
一些记录显示 HTTP_HOST 该值是localhost,但 REMOTE_ADDR 是外部ip。
我已经测试过可以从外部ip访问,但是它显示了正确的HTTP_HOST,这是我的Web应用程序域或服务器的公共ip地址(如果我使用ip地址)
这很常见吗?如果是,如何从外部ip获取HTTP_HOST值到本地主机?
如果没有,有人(可能)可以访问我的服务器或尝试(并成功)注入我的Web应用程序吗?
答案 0 :(得分:0)
我认为我得到了答案,例如PHP文档Manual
$ SERVER数组中所有键以“ HTTP ”开头的元素都来自HTTP请求标头,并且不受信任
,可以使用此方法进行更改
curl -H "Host: notyourdomain.com" http://yoursite.com/