django 替代方案以防止标头中毒

Question

首先我的英语说得不太好，但无论如何......

我知道我需要使用 allowed_hosts，但我需要使用所有“*”，并且标头攻击可能会导致以下情况：

<script src = "mysite.com/js/script.js"> <script>

到

<script src = "attacker.com/js/script.js"> <script>

或

mysite.com/new_password=blabla&token=blabla8b10918gd91d1b0i1

到

attacker.com/new_password=blabla&token=blabla8b10918gd91d1b0i1

但是所有静态文件都加载在nodejs服务器“cdn.mysite.com”上，并且所有域都在数据库中，所以我总是从数据库中获取域来与请求头进行比较，并使用来自向客户端发送任何内容的数据数据库：

views.py：

def Index(request):

    url = request.META['HTTP_HOST']

    cf = Config.objects.first()

    if cf.domain == url:

        form = regForm()

        return render(request, 'page/site/home.html', {'form': form})

    elif cf.user_domain == url:

        ur = request.user.is_authenticated

        if ur:
    
            config = {'data' : request.user}

            lojas  = 'json.loads(request.user.user_themes)'

            return render(request, 'app/home.html', {"config":config, "lojas":lojas})

        else:

            forml = loginForm()

            return render(request, 'page/users/login/login.html', {'form':forml})

    else:
        redirect("//" + cf.domain)

这样使用还会不安全吗？

Answer 1

您不需要创建一个自行车棚。 allowed_hosts 设置完全足以防止在请求中欺骗主机名（您可以在Practical HTTP Host header attacks 中看到主机名欺骗的工作原理）。

allowed_hosts 表示 [YourSite.com, www.YourSite.com, *.YourSite.com] 的域类型 - 这是您的站点应该在其上运行的域名（而不是您的站点可以从中加载外部脚本的域名）。

并在服务器上使用 HTTP/2 而不是 HTTP/1.1，因为：

根据 HTTP/1.1 协议规范，当指定一个 资源的绝对路径，Host 标头值ignored，并且 资源路径中的主机 被视为它。这导致了一个事实 在这种情况下，即使是安全配置的 Web 服务器也接受 带有欺骗主机值的请求，以及使用 HOST 而不是 SERVER_NAME 容易受到这种攻击。

因此，如果您确实使用了 SERVER_NAME - 这种攻击不会影响您。

如果您希望控制公共 CDN 上可能的脚本欺骗 - 使用：

• Content Security Policy HTTP 标头（您可以选择要阅读的语言）。
• SubResource Integrity（目前 Safari 不支持 Safari 12 支持）