複数のドメインからアクセスできるHerokuアプリケーションを開発しています。リクエストがどの特定のドメインに関連しているかを区別する必要があります。Location
これは、たとえば、ヘッダーで返されるリソースの絶対URLを作成するために必要です。
Host
Herokuアプリケーションへのリクエストで到着するヘッダーが、アプリケーションに関連付けられているドメイン(デフォルトxyz.herokuapp.com
ドメインまたはheroku domains:add
コマンドで追加されたドメインの1つ)を常に指すように信頼できますか?
このヘッダーはユーザーが任意の値に設定できることは知っていますが、Herokuフロントエンドサーバーは、リクエストを正しいアプリケーションにディスパッチするために、なんらかのフィルタリングを行う必要があります。このフィルタリングの防弾は、Host
ヘッダーを信頼するのに十分ですか?