PHP $ _SERVER ['HTTP_HOST'] เทียบกับ $ _SERVER ['SERVER_NAME'] ฉันเข้าใจหน้าคนถูกต้องหรือไม่?

ฉันค้นหามากและอ่านเอกสาร PHP $ _SERVERด้วย ฉันมีสิทธิ์ที่จะใช้สำหรับสคริปต์ PHP ของฉันสำหรับคำจำกัดความลิงก์แบบง่ายที่ใช้ทั่วทั้งไซต์ของฉันหรือไม่?

$_SERVER['SERVER_NAME'] ขึ้นอยู่กับไฟล์ปรับแต่งของเว็บเซิร์ฟเวอร์ของคุณ (Apache2 ในกรณีของฉัน) และแตกต่างกันไปตามคำสั่งไม่กี่: (1) VirtualHost, (2) ServerName, (3) UseCanonicalName ฯลฯ

$_SERVER['HTTP_HOST'] ขึ้นอยู่กับการร้องขอจากลูกค้า

$_SERVER['HTTP_HOST']ดังนั้นก็จะดูเหมือนกับผมว่าคนที่เหมาะสมที่จะใช้ในการที่จะทำให้ฉันเป็นสคริปต์ที่เข้ากันได้เป็นไปได้ที่จะเป็น สมมติฐานนี้ถูกต้องหรือไม่

ความคิดเห็นติดตามผล:

ฉันเดาว่าฉันได้รับความหวาดระแวงเล็กน้อยหลังจากอ่านบทความนี้และสังเกตว่าคนบางคนพูดว่า "พวกเขาจะไม่เชื่อถือ$_SERVERvars ใด ๆ":

• http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

• http://php.net/manual/en/reserved.variables.server.php#89567 (ความคิดเห็น: Vladimir Kornea 14-Mar-2009 01:06)

เห็นได้ชัดว่าการอภิปรายส่วนใหญ่เกี่ยวกับ$_SERVER['PHP_SELF']และทำไมคุณไม่ควรใช้ในแอตทริบิวต์การกระทำแบบฟอร์มโดยไม่ต้องหลบหนีที่เหมาะสมเพื่อป้องกันการโจมตี XSS

ข้อสรุปของฉันเกี่ยวกับคำถามเดิมของฉันคือการ "ปลอดภัย" เพื่อใช้$_SERVER['HTTP_HOST']สำหรับลิงก์ทั้งหมดในเว็บไซต์โดยไม่ต้องกังวลเกี่ยวกับการโจมตี XSS แม้เมื่อใช้ในรูปแบบ

โปรดแก้ไขฉันหากฉันผิด

นั่นอาจเป็นความคิดแรกของทุกคน แต่มันก็ยากขึ้นนิดหน่อย ดูบทความคริส Shiflett ของSERVER_NAMEHTTP_HOSTกับ

ดูเหมือนว่าไม่มีกระสุนเงิน เมื่อคุณบังคับให้ Apache ใช้ชื่อบัญญัติเท่านั้นคุณจะได้รับชื่อเซิร์ฟเวอร์ที่ถูกต้องSERVER_NAMEเสมอ

ดังนั้นคุณจะไปกับที่หรือคุณตรวจสอบชื่อโฮสต์กับรายการสีขาว:

$allowed_hosts = array('foo.example.com', 'bar.example.com');
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
    header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
    exit;
}

เพียงบันทึกเพิ่มเติม - หากเซิร์ฟเวอร์ทำงานบนพอร์ตอื่นที่ไม่ใช่ 80 (ซึ่งอาจเป็นเรื่องปกติในเครื่องพัฒนา / อินทราเน็ต) จากนั้นจะHTTP_HOSTมีพอร์ตในขณะที่SERVER_NAMEไม่มี

$_SERVER['HTTP_HOST'] == 'localhost:8080'
$_SERVER['SERVER_NAME'] == 'localhost'

(อย่างน้อยนั่นคือสิ่งที่ฉันสังเกตเห็นใน virtualhosts ที่ใช้พอร์ต Apache)

ขณะที่ไมค์ได้ตั้งข้อสังเกตด้านล่างHTTP_HOSTไม่ได้มี:443เมื่อทำงานบน HTTPS (ยกเว้นกรณีที่คุณกำลังทำงานอยู่บนพอร์ตที่ไม่ได้มาตรฐานซึ่งฉันไม่ได้ทดสอบ)

ใช้อย่างใดอย่างหนึ่ง ทั้งสองมีความปลอดภัยเท่ากัน (ใน) ปลอดภัยเนื่องจากในหลายกรณี SERVER_NAME เพิ่งมีการเติมข้อมูลจาก HTTP_HOST ปกติแล้วฉันจะใช้ HTTP_HOST เพื่อให้ผู้ใช้อยู่ในชื่อโฮสต์ที่แน่นอนที่พวกเขาเริ่มต้น ตัวอย่างเช่นหากฉันมีเว็บไซต์เดียวกันบนโดเมน. com และ. org ฉันไม่ต้องการส่งคนจาก. org ถึง. com โดยเฉพาะหากพวกเขาอาจมีโทเค็นการเข้าสู่ระบบใน. org ที่พวกเขาสูญเสียหากส่งไป โดเมนอื่น

ไม่ว่าจะด้วยวิธีใดคุณต้องมั่นใจว่าเว็บแอปของคุณจะตอบสนองต่อโดเมนที่รู้จักดีเท่านั้น สิ่งนี้สามารถทำได้ (a) ด้วยการตรวจสอบด้านแอปพลิเคชันเช่น Gumbo's หรือ (b) โดยใช้โฮสต์เสมือนในชื่อโดเมนที่คุณต้องการที่ไม่ตอบสนองต่อคำขอที่ให้ส่วนหัวโฮสต์ที่ไม่รู้จัก

เหตุผลก็คือถ้าคุณอนุญาตให้ไซต์ของคุณเข้าถึงได้ภายใต้ชื่อเก่า ๆ คุณจะเปิดการโจมตี DNS rebinding ด้วยตัวเอง (ที่ชื่อโฮสต์ของไซต์อื่นชี้ไปที่ IP ของคุณผู้ใช้เข้าถึงไซต์ของคุณด้วยชื่อโฮสต์ของผู้โจมตี ถูกย้ายไปที่ IP ของผู้โจมตีนำคุกกี้ / รับรองความถูกต้องไปด้วย) และการไฮแจ็กเครื่องมือค้นหา (ที่ผู้โจมตีชี้ชื่อโฮสต์ของตนเองที่เว็บไซต์ของคุณและพยายามทำให้เครื่องมือค้นหามองว่าเป็นชื่อโฮสต์ที่ดีที่สุด)

เห็นได้ชัดว่าการสนทนาส่วนใหญ่เกี่ยวกับ $ _SERVER ['PHP_SELF'] และสาเหตุที่คุณไม่ควรใช้ในแอ็ตทริบิวต์การกระทำแบบฟอร์มโดยไม่มีการหลบหนีที่เหมาะสมเพื่อป้องกันการโจมตี XSS

pfft ดีที่คุณไม่ควรใช้อะไรในการใด ๆแอตทริบิวต์โดยไม่ต้องหลบหนีด้วยhtmlspecialchars($string, ENT_QUOTES)เพื่อให้มีอะไรพิเศษเกี่ยวกับตัวแปรที่มีเซิร์ฟเวอร์

นี่คือการแปลแบบละเอียดของสิ่งที่ Symfony ใช้เพื่อรับชื่อโฮสต์ ( ดูตัวอย่างที่สองสำหรับการแปลตามตัวอักษรมากขึ้น ):

function getHost() {
    $possibleHostSources = array('HTTP_X_FORWARDED_HOST', 'HTTP_HOST', 'SERVER_NAME', 'SERVER_ADDR');
    $sourceTransformations = array(
        "HTTP_X_FORWARDED_HOST" => function($value) {
            $elements = explode(',', $value);
            return trim(end($elements));
        }
    );
    $host = '';
    foreach ($possibleHostSources as $source)
    {
        if (!empty($host)) break;
        if (empty($_SERVER[$source])) continue;
        $host = $_SERVER[$source];
        if (array_key_exists($source, $sourceTransformations))
        {
            $host = $sourceTransformations[$source]($host);
        } 
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

เก่า:

นี่คือการแปลของฉันเกี่ยวกับ PHP ของวิธีที่ใช้ในเฟรมเวิร์ก Symfony ที่พยายามรับชื่อโฮสต์จากทุกวิธีที่เป็นไปได้เพื่อการปฏิบัติที่ดีที่สุด:

function get_host() {
    if ($host = $_SERVER['HTTP_X_FORWARDED_HOST'])
    {
        $elements = explode(',', $host);

        $host = trim(end($elements));
    }
    else
    {
        if (!$host = $_SERVER['HTTP_HOST'])
        {
            if (!$host = $_SERVER['SERVER_NAME'])
            {
                $host = !empty($_SERVER['SERVER_ADDR']) ? $_SERVER['SERVER_ADDR'] : '';
            }
        }
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

ปลอดภัยหรือไม่ที่จะใช้$_SERVER['HTTP_HOST']สำหรับลิงก์ทั้งหมดในเว็บไซต์โดยไม่ต้องกังวลเกี่ยวกับการโจมตี XSS แม้ว่าจะใช้ในรูปแบบหรือไม่

ใช่มันปลอดภัยที่จะใช้$_SERVER['HTTP_HOST'](และแม้แต่$_GETและ$_POST) ตราบใดที่คุณตรวจสอบพวกเขาก่อนที่จะยอมรับพวกเขา นี่คือสิ่งที่ฉันทำกับเซิร์ฟเวอร์ที่ปลอดภัย:

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
$reject_request = true;
if(array_key_exists('HTTP_HOST', $_SERVER)){
    $host_name = $_SERVER['HTTP_HOST'];
    // [ need to cater for `host:port` since some "buggy" SAPI(s) have been known to return the port too, see http://goo.gl/bFrbCO
    $strpos = strpos($host_name, ':');
    if($strpos !== false){
        $host_name = substr($host_name, $strpos);
    }
    // ]
    // [ for dynamic verification, replace this chunk with db/file/curl queries
    $reject_request = !array_key_exists($host_name, array(
        'a.com' => null,
        'a.a.com' => null,
        'b.com' => null,
        'b.b.com' => null
    ));
    // ]
}
if($reject_request){
    // log errors
    // display errors (optional)
    exit;
}
/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
echo 'Hello World!';
// ...

ประโยชน์ของการเป็นว่าพฤติกรรมของมันจะดีขึ้นกว่าที่กำหนดไว้$_SERVER['HTTP_HOST'] $_SERVER['SERVER_NAME']ความคมชัด➫➫ :

เนื้อหาของโฮสต์: ส่วนหัวจากคำขอปัจจุบันหากมี

ด้วย:

ชื่อของโฮสต์เซิร์ฟเวอร์ที่สคริปต์ปัจจุบันทำงานอยู่

การใช้อินเทอร์เฟซที่กำหนดไว้ดีกว่า $_SERVER['HTTP_HOST']หมายถึงว่า SAPIs จะใช้งานได้มากขึ้นโดยใช้พฤติกรรมที่กำหนดไว้อย่างน่าเชื่อถือ (ไม่เหมือนที่อื่น ) อย่างไรก็ตามมันยังคงพึ่งพา SAPI ทั้งหมดtotally :

ไม่รับประกันว่าทุกเว็บเซิร์ฟเวอร์จะให้ [ $_SERVERรายการ] เหล่านี้ใด ๆ; เซิร์ฟเวอร์อาจละเว้นบางเซิร์ฟเวอร์หรือให้บริการอื่นที่ไม่อยู่ในรายการนี้

เพื่อให้เข้าใจถึงวิธีการเรียกชื่อโฮสต์ได้อย่างถูกต้องอันดับแรกและสำคัญที่สุดคุณต้องเข้าใจว่าเซิร์ฟเวอร์ที่มีรหัสเท่านั้นไม่มีวิธีที่จะทราบ (จำเป็นต้องมีการตรวจสอบล่วงหน้า) ชื่อของตัวเองบนเครือข่าย มันต้องการที่จะเชื่อมต่อกับองค์ประกอบที่เป็นชื่อของมันเอง สามารถทำได้ผ่าน:

• ไฟล์กำหนดค่าท้องถิ่น

• ฐานข้อมูลท้องถิ่น

• รหัสที่มา hardcoded

• คำขอภายนอก ( curl )

• Host:คำขอของลูกค้า / ผู้โจมตี

• ฯลฯ

โดยปกติจะทำผ่านไฟล์ปรับแต่ง local (SAPI) โปรดทราบว่าคุณได้กำหนดค่าไว้อย่างถูกต้องเช่นใน Apache ➫➫ :

สองสิ่งต่าง ๆ จะต้อง 'ปลอม' เพื่อทำให้โฮสต์เสมือนแบบไดนามิกดูเหมือนปกติ

ที่สำคัญที่สุดคือชื่อเซิร์ฟเวอร์ที่ Apache ใช้เพื่อสร้าง URL อ้างอิงตนเองเป็นต้นซึ่งได้รับการกำหนดค่าด้วยServerNameคำสั่งและสามารถใช้งานได้กับ CGIs ผ่านSERVER_NAMEตัวแปรสภาพแวดล้อม

ค่าจริงที่ใช้ในขณะดำเนินการถูกควบคุมโดยการตั้งค่า UseCanonicalName

ด้วย UseCanonicalName Offชื่อเซิร์ฟเวอร์มาจากเนื้อหาของHost:ส่วนหัวในคำขอ ด้วย UseCanonicalName DNSมันมาจากการค้นหา DNS ย้อนกลับของที่อยู่ IP ของโฮสต์เสมือน การตั้งค่าแบบเดิมใช้สำหรับการโฮสต์เสมือนแบบไดนามิกที่ใช้ชื่อและการตั้งค่าแบบหลังใช้สำหรับการโฮสต์แบบ IP **

หาก Apache ไม่สามารถทำงานได้ออกชื่อเซิร์ฟเวอร์เพราะไม่มีHost:หัวหรือ DNS การค้นหาล้มเหลวแล้วค่าการกำหนดค่าด้วยServerNameใช้แทน

ความแตกต่างที่สำคัญระหว่างสองคือนั่น$_SERVER['SERVER_NAME']คือตัวแปรควบคุมเซิร์ฟเวอร์ในขณะที่$_SERVER['HTTP_HOST']เป็นค่าที่ผู้ใช้ควบคุม

กฎง่ายๆคือการไม่ไว้วางใจค่าจากผู้ใช้จึง$_SERVER['SERVER_NAME']เป็นทางเลือกที่ดีกว่า

ในฐานะที่เป็นกระเจี๊ยบชี้ Apache จะสร้าง SERVER_NAME UseCanonicalName Onจากค่าผู้ใช้จัดถ้าคุณไม่ได้ตั้งค่า

แก้ไข: ต้องบอกทุกอย่างว่าถ้าเว็บไซต์ใช้โฮสต์เสมือนตามชื่อส่วนหัวโฮสต์ HTTP เป็นวิธีเดียวในการเข้าถึงไซต์ที่ไม่ใช่ไซต์เริ่มต้น

ฉันไม่แน่ใจและไม่ไว้วางใจจริงๆ$_SERVER['HTTP_HOST']เพราะมันขึ้นอยู่กับส่วนหัวของลูกค้า อีกวิธีหนึ่งหากโดเมนที่ลูกค้าร้องขอไม่ใช่ของฉันพวกเขาจะไม่เข้าสู่เว็บไซต์ของฉันเพราะโปรโตคอล DNS และ TCP / IP ชี้ไปยังปลายทางที่ถูกต้อง อย่างไรก็ตามฉันไม่รู้ว่าเป็นไปได้ที่จะจี้ DNS เครือข่ายหรือแม้กระทั่งเซิร์ฟเวอร์ Apache เพื่อความปลอดภัยฉันจะกำหนดชื่อโฮสต์ในสภาพแวดล้อมและเปรียบเทียบกับ$_SERVER['HTTP_HOST']เพื่อความปลอดภัยฉันกำหนดชื่อโฮสต์ในสภาพแวดล้อมและเปรียบเทียบกับ

เพิ่มSetEnv MyHost domain.comในไฟล์. htaccess บนรูทและเพิ่มรหัส ths ใน Common.php

if (getenv('MyHost')!=$_SERVER['HTTP_HOST']) {
  header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
  exit();
}

ฉันรวมไฟล์ Common.php นี้ไว้ในหน้า php ทุกหน้า หน้านี้ทำสิ่งที่จำเป็นสำหรับแต่ละคำขอเช่นsession_start()แก้ไขคุกกี้เซสชันและปฏิเสธหากวิธีการโพสต์มาจากโดเมนที่ต่างกัน

XSSมักจะมีแม้ว่าคุณจะใช้$_SERVER['HTTP_HOST'], $_SERVER['SERVER_NAME']หรือ$_SERVER['PHP_SELF']

ก่อนอื่นฉันอยากจะขอบคุณสำหรับคำตอบและคำอธิบายที่ดีทั้งหมด นี่คือวิธีที่ฉันสร้างขึ้นตามคำตอบทั้งหมดของคุณเพื่อรับ URL พื้นฐาน ฉันใช้มันในสถานการณ์ที่หายากมากเท่านั้น ดังนั้นจึงไม่ได้เน้นเรื่องความปลอดภัยเช่นการโจมตี XSS บางทีบางคนต้องการมัน

// Get base url
function getBaseUrl($array=false) {
    $protocol = "";
    $host = "";
    $port = "";
    $dir = "";  

    // Get protocol
    if(array_key_exists("HTTPS", $_SERVER) && $_SERVER["HTTPS"] != "") {
        if($_SERVER["HTTPS"] == "on") { $protocol = "https"; }
        else { $protocol = "http"; }
    } elseif(array_key_exists("REQUEST_SCHEME", $_SERVER) && $_SERVER["REQUEST_SCHEME"] != "") { $protocol = $_SERVER["REQUEST_SCHEME"]; }

    // Get host
    if(array_key_exists("HTTP_X_FORWARDED_HOST", $_SERVER) && $_SERVER["HTTP_X_FORWARDED_HOST"] != "") { $host = trim(end(explode(',', $_SERVER["HTTP_X_FORWARDED_HOST"]))); }
    elseif(array_key_exists("SERVER_NAME", $_SERVER) && $_SERVER["SERVER_NAME"] != "") { $host = $_SERVER["SERVER_NAME"]; }
    elseif(array_key_exists("HTTP_HOST", $_SERVER) && $_SERVER["HTTP_HOST"] != "") { $host = $_SERVER["HTTP_HOST"]; }
    elseif(array_key_exists("SERVER_ADDR", $_SERVER) && $_SERVER["SERVER_ADDR"] != "") { $host = $_SERVER["SERVER_ADDR"]; }
    //elseif(array_key_exists("SSL_TLS_SNI", $_SERVER) && $_SERVER["SSL_TLS_SNI"] != "") { $host = $_SERVER["SSL_TLS_SNI"]; }

    // Get port
    if(array_key_exists("SERVER_PORT", $_SERVER) && $_SERVER["SERVER_PORT"] != "") { $port = $_SERVER["SERVER_PORT"]; }
    elseif(stripos($host, ":") !== false) { $port = substr($host, (stripos($host, ":")+1)); }
    // Remove port from host
    $host = preg_replace("/:\d+$/", "", $host);

    // Get dir
    if(array_key_exists("SCRIPT_NAME", $_SERVER) && $_SERVER["SCRIPT_NAME"] != "") { $dir = $_SERVER["SCRIPT_NAME"]; }
    elseif(array_key_exists("PHP_SELF", $_SERVER) && $_SERVER["PHP_SELF"] != "") { $dir = $_SERVER["PHP_SELF"]; }
    elseif(array_key_exists("REQUEST_URI", $_SERVER) && $_SERVER["REQUEST_URI"] != "") { $dir = $_SERVER["REQUEST_URI"]; }
    // Shorten to main dir
    if(stripos($dir, "/") !== false) { $dir = substr($dir, 0, (strripos($dir, "/")+1)); }

    // Create return value
    if(!$array) {
        if($port == "80" || $port == "443" || $port == "") { $port = ""; }
        else { $port = ":".$port; } 
        return htmlspecialchars($protocol."://".$host.$port.$dir, ENT_QUOTES); 
    } else { return ["protocol" => $protocol, "host" => $host, "port" => $port, "dir" => $dir]; }
}