2

Djangoチームは、ホストヘッダーポイズニング(CVE-2011-4139およびCVE-2012-4520)を、フレームワークレベルで解決する必要のあるセキュリティ問題と見なしています。たとえば、Pyramid(つまり、基盤となる低レベルのリクエストラッパーであるwebob)は、これを問題とは見なしません。

本番および開発マシンでは、ヘッダーに完全なガベージが含まれていSERVER_NAMEても正しく通過するように見えるnginxがあり、一致するものがない場合は444応答なしで応答します。Hostserver_name

質問:絶対URLを作成するためHostに使用する場合、このような場合のヘッダーポイズニングについて心配する必要がありますか?SERVER_NAME

4

1 に答える 1

2

nginxを使用してHTTP_HOSTフィールドとSERVER_NAMEフィールドをサニタイズする場合、正しいことを行っているので、ホストヘッダーのポイズニングについて心配する必要はありません。

Djangoと同様に、Pyramidはこの大部分をWSGIホスト環境のタスクと見なします。そしてnginxは、HTTPリクエスト情報をサニタイズするという優れた、戦いに強い仕事をします。

于 2013-03-23T14:06:22.493 に答える