PHP判断域名是否在白名单的实现方法

本文深入解析了PHP中安全、可靠地判断请求域名是否属于白名单的核心实践，强调必须使用$_SERVER['HTTP_HOST']（而非不可信的$_SERVER['SERVER_NAME']）获取原始Host头，并在比对前规范剥离端口、统一转小写，同时支持子域通配（如*.example.com）、严格后缀匹配以杜绝模糊匹配导致的安全漏洞（如example.com误匹配myexample.com），还覆盖了反向代理配置、HTTPS重定向、本地开发（localhost）、Docker服务名及SaaS平台随机子域等真实场景的适配要点，最后提供了一个健壮、可测试、防恶意输入（如@符号注入）的封装函数，帮助开发者避开常见陷阱，构建真正可信的域名校验机制。

用 $_SERVER['HTTP_HOST'] 获取原始域名，别用 $_SERVER['SERVER_NAME']

真实请求中，$_SERVER['HTTP_HOST'] 是客户端发来的 Host 头，反映用户实际访问的域名（比如 shop.example.com 或 example.com:8080）；而 $_SERVER['SERVER_NAME'] 来自服务器配置，可能被 Nginx/Apache 强制覆盖，不具可信性。白名单校验必须基于前者。

注意点：

• $_SERVER['HTTP_HOST'] 可能带端口（如 dev.example.com:8000），白名单比对前建议先剥离端口：parse_url('http://' . $_SERVER['HTTP_HOST'], PHP_URL_HOST)
• 若应用走反向代理（如 Nginx + PHP-FPM），需确认 proxy_set_header Host $host; 已正确透传，否则 HTTP_HOST 可能为空或为代理地址
• HTTPS 下部分旧环境可能误将 HTTP_HOST 写成 HTTPS_HOST —— 不存在该变量，纯属误写

白名单数组定义与域名匹配逻辑：支持子域、忽略大小写、防伪协议头

白名单应是纯域名列表（不含 http:// 或路径），比对时统一转小写，并考虑子域通配需求（如允许 *.example.com）。

常见做法：

• 用 in_array(strtolower($host), $whitelist) 判断精确匹配
• 若需支持通配符，遍历白名单项，对形如 '*.example.com' 的条目，用 substr($host, -strlen($pattern) + 1) === substr($pattern, 1) 检查后缀
• 绝对不要用 strpos($host, $pattern) 直接模糊匹配 —— example.com 会错误匹配 myexample.com
• 避免用正则（如 preg_match）做简单域名判断，无必要开销，且易写错边界

注意 HTTPS 重定向和本地开发环境的干扰

生产环境常强制 HTTPS，但本地开发（localhost、127.0.0.1）或测试环境（test.app）通常不走 HTTPS，这些域名必须显式加入白名单，否则中间件直接拦截。

典型疏漏：

• 白名单只写了 www.example.com 和 example.com，漏掉 localhost，导致本地调试 500 或跳转失败
• CI/CD 测试用 Docker 网络，容器内用服务名（如 php-app）通信，该名称也需入白名单
• 某些 SaaS 前端托管平台（Vercel、Netlify）会以随机子域代理请求，此时需用通配符或动态提取主域再校验

把判断逻辑封装成可复用函数，避免硬编码在入口文件

把白名单校验从 index.php 或中间件里抽出来，方便单元测试和多处调用。例如：

function isDomainWhitelisted(string $host, array $whitelist): bool
{
    $host = strtolower(trim($host));
    $host = parse_url('http://' . $host, PHP_URL_HOST) ?: $host;
<pre class="brush:php;toolbar:false"><code>foreach ($whitelist as $pattern) {
    $pattern = strtolower(trim($pattern));
    if ($pattern === $host) {
        return true;
    }
    if (str_starts_with($pattern, '*.') && strlen($host) > strlen($pattern) - 1) {
        $suffix = substr($pattern, 1);
        if (substr($host, -strlen($suffix)) === $suffix) {
            return true;
        }
    }
}

return false;</code>

}

// 使用 $allowed = isDomainWhitelisted($_SERVER['HTTP_HOST'] ?? '', [ 'example.com', 'www.example.com', '*.staging.example.com', 'localhost', ]);

这个函数不依赖全局状态，参数明确，测试时可直接传不同 $host 和 $whitelist 覆盖各种边界情况。最常被忽略的是 parse_url 对非法 Host 的容错处理 —— 若 HTTP_HOST 被恶意构造为 evil.com@notreal.com，parse_url 会返回 false，此时应拒绝而非降级匹配。

到这里，我们也就讲完了《PHP判断域名是否在白名单的实现方法》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！