Como os servidores da web devem manipular solicitações com cabeçalho de host incorreto?

1

Estou recebendo várias solicitações para o meu site com o cabeçalho Host definido incorretamente (mais comumente para o endereço IP em vez de para o nome do domínio). Atualmente estou retornando 400 Bad Request . Estou pensando em retornar 301 ou 302 , mas não tenho certeza se é uma boa ideia.

Qual é a melhor prática quando o cliente define o cabeçalho Host incorretamente?

    
por Flash 27.03.2017 / 14:00

2 respostas

3

Eu diria que tudo deve enviar um campo de host válido, exceto alguns bots e outros scanners automáticos.

O uso de HTTP / 1.0 (que não tem um cabeçalho de host) hoje é basicamente zero e, novamente, qualquer coisa que ainda esteja usando isso provavelmente não é algo que você deseja ou precisa em seu site.

Então, para mim, há um valor limitado para 301 ou 302 dessas solicitações e elas podem acabar seguindo isso e atingir seu site novamente desperdiçando seus recursos.

Finalmente, você provavelmente está gastando muito tempo se preocupando com isso. Solicitações de lixo eletrônico são parte integrante da execução de um site de Internet voltado para o público e, na maioria das vezes, são melhor ignoradas do que perder tempo com elas. Se você está preocupado, então você pode instalar um WAF para filtrar esse tipo de coisa.

    
por 27.03.2017 / 22:29
2

Qual é o comportamento atual do seu servidor web, você exibe um site real ao lidar com solicitações de% head_de% headers e / ou Host: -headers com nomes DNS desconhecidos?

Se você está exibindo um site real e deseja alterá-lo antes disso, é recomendável investigar primeiro se você tem ou não alguma:

  • clientes reais que ainda usam o nível de protocolo HTTP 1.0, que ainda não tinha o cabeçalho Host: .

Se for esse o caso, talvez seja necessário acomodá-los mantendo o comportamento atual (pelo menos para esses clientes específicos).

Indiscutivelmente, há algum valor em não exibir um site real em resposta a solicitações inválidas, apenas para manter parte do lixo que os verificadores de rede / rastreadores da web / bots criam dos logs de seus sites reais.

    
por 27.03.2017 / 15:05