如何禁用空主机头

一、Nginx 空主机头禁止 如果 Nginx 配置了空主机头，那么任意域名解析指向到服务器IP，都可以访问站点，为了防止域名解析恶意指向主机，可以将 Nginx 默认的空主机头禁止，方法是通过修改 Nginx 的主配置文件 nginx.conf ，使其主机头返回错误信息 500

nginx配置默认路径：/usr/local/nginx/conf/nginx.conf

1. 直接屏蔽未绑定域名的虚拟主机访问，返回500错误（这个错误信息可以自定义）：

server
{
     listen  80;
     return 500;
}

1. 可以做一个URL重写，把访问的流量导入到需要的网站，比如说网站的主页，配置的时候https://www.joshua317.net替换成需要的URL即可：

server
{
  listen 80 default;
  rewrite ^(.*) http://www.joshua317.com permanent; 
}

1. 禁止空主机头的同时也禁止通过IP访问，可以写成:

server
{
  listen 80 default;
  server_name _;
  return 500;
}

这里的配置需要添加到 nginx 主配置文件里，和主配置文件的 server 并列成同一层级，可以参考下图：

二、Apache 空主机头禁止 防止域名解析，禁止apache默认的空主机头： apache配置默认路径：/etc/httpd/conf/httpd.conf

1. 编辑配置文件，在站点配置之前再增加一个站点（上面是需要增加的站点配置，下面是正在使用的站点配置）

<VirtualHost *:80>
ServerName *****
ErrorDocument 404 /404.html
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
</Directory>
</VirtualHost>

<VirtualHost *:80>
ServerName www.joshua317.com
DocumentRoot "/var/www/html"
</VirtualHost>

1. apache将第一个virtualhost作为默认配置，然后依次向下查找，如果有匹配中的，则采用新匹配到的配置项

这样就可以将允许的访问主机头之外的恶意解析请求拦截在外；

本文为joshua317原创文章,转载请注明：转载自joshua317博客 https://www.joshua317.com/article/309