Команда Django считает, что отравление заголовка хоста (CVE-2011-4139 и CVE-2012-4520) является проблемой безопасности, которая должна быть решена на уровне структуры. Например, пирамида (т. Е. Ее базовая низкоуровневая обертка-webob) не рассматривает это как проблему.Возможно ли в этом случае отравление заголовка заголовка?
На производство & развития машин у меня есть Nginx, который, кажется, проходит правильно SERVER_NAME
даже если Host
заголовок содержит полный мусор, и реагирует с 444 No response если нет соответствия server_name
.
Вопрос: должен ли я беспокоиться о отравлении заголовка заголовка Host
в таком случае, если я использую SERVER_NAME
для создания абсолютных URL-адресов?
Я бы сказал: «Джанго считает это своей задачей в некоторой степени» :) – ASKSBADQUESTIONS
@ASKSBADQUESTIONS: см. [CVE-2012-4520 advisory] (https://www.djangoproject.com/weblog/ 2012/oct/17/security /): * Некоторые атаки против этого превышают способность управлять Django и требуют правильной настройки веб-сервера *. –
Вот почему это не должно быть проблемой Django. Это плохая конфигурация, а не фреймворк (возможно, разработчики Django имеют собственное мнение об этом, кто знает). Постскриптум Я упомянул о том, что CVE в вопросе;) Кроме того, я видел (где-то, не помню, где) плохие исправления безопасности других проектов, которые делали код a) трудно читать и изменять b) небезопасно. Как вы думаете? – ASKSBADQUESTIONS