PHP防范主机头攻击技巧【安全】

本文深入解析了PHP应用中防范Host头攻击的五大核心策略，涵盖白名单校验、用可信的SERVER_NAME替代用户可控的HTTP_HOST、正则匹配动态域名格式、强制HTTPS与HSTS双重加固、以及在反向代理层剥离重写Host头——从代码层到基础设施层构建纵深防御体系，有效阻断密码重置劫持、缓存污染和路由绕过等高危风险，为PHP开发者提供即学即用、兼顾安全性与实用性的实战防护指南。

如果您在PHP应用中未对HTTP Host头进行校验，攻击者可能伪造Host请求头，导致密码重置链接指向恶意域名、缓存污染或基于主机的路由逻辑被绕过。以下是防止主机头攻击漏洞的多种方法：

一、白名单校验Host头值

该方法通过硬编码可信域名列表，在请求进入业务逻辑前强制验证Host头是否属于预设合法值，从根本上阻断非法Host注入。

1、在入口文件（如index.php）顶部或中间件中获取原始Host头：
```php $host = $_SERVER['HTTP_HOST'] ?? $_SERVER['SERVER_NAME'] ?? '';```

2、定义允许的域名白名单数组：
```php $allowed_hosts = ['example.com', 'www.example.com', 'api.example.com'];```

3、使用严格比较判断Host是否匹配白名单：
```php if (!in_array($host, $allowed_hosts, true)) { header('HTTP/1.0 400 Bad Request'); exit('Invalid Host header'); }```

二、使用SERVER_NAME替代HTTP_HOST

该方法规避用户可控的HTTP_HOST头，转而依赖Web服务器配置的SERVER_NAME变量，该值由服务器管理员设定且不可被客户端篡改，具备天然可信性。

1、禁用所有直接使用$_SERVER['HTTP_HOST']的代码路径。

2、统一替换为$_SERVER['SERVER_NAME']作为域名来源：
```php $domain = $_SERVER['SERVER_NAME'];```

3、确保Web服务器（如Apache或Nginx）已正确配置ServerName指令，且未启用泛域名通配符。

三、正则匹配可信域名格式

该方法适用于存在子域名动态场景（如多租户SaaS），通过正则表达式限定Host头必须符合特定结构，既保持灵活性又防止任意域名注入。

1、构造仅允许字母、数字、短横线及点号组成的域名模式：
```php $pattern = '/^[a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?(\.[a-zA-Z0-9]([a-zA-Z0-9\-]{0,61}[a-zA-Z0-9])?)*\.(com|org|net|cn)$/';```

2、对Host头执行严格正则匹配：
```php if (!preg_match($pattern, $host)) { die('Host头不符合域名规范，请求已被拒绝'); }```

3、将匹配结果中的主域名提取并用于后续跳转或链接生成，丢弃原始Host头全部内容。

四、强制HTTPS + HSTS并绑定域名

该方法通过协议与头部双重约束，使非法Host头在传输层即失效：HSTS策略禁止浏览器降级至HTTP，而Strict-Transport-Security响应头要求所有请求必须携带合法域名并走HTTPS，非法Host无法建立有效连接。

1、在PHP响应头中添加HSTS策略：
```php header('Strict-Transport-Security: max-age=31536000; includeSubDomains; preload');```

2、确保Web服务器全局重定向HTTP至HTTPS，并验证SSL证书覆盖所有合法域名。

3、在应用层校验当前请求协议与Host一致性：
```php if (!isset($_SERVER['HTTPS']) || $_SERVER['HTTPS'] !== 'on') { die('非HTTPS请求不被允许'); }```

五、使用反向代理剥离并重写Host头

该方法将Host头校验前置至基础设施层，在PHP应用接收到请求前，由Nginx或Apache完成合法性检查与标准化，PHP无需处理任何Host逻辑，彻底消除应用层风险。

1、在Nginx配置中启用map模块映射合法Host：
```nginx map $http_host $valid_host { default 0; example.com 1; www.example.com 1; }```

2、在server块中添加条件拦截：
```nginx if ($valid_host = 0) { return 400; }```

3、将标准化后的Host头以固定值透传给PHP：
```nginx proxy_set_header Host example.com;```

今天关于《PHP防范主机头攻击技巧【安全】》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！