防止主机头注入攻击：PHP代码与Apache配置的联合防御

1. 理解主机头注入攻击

主机头注入（host header injection）是一种常见的web安全漏洞，攻击者通过操纵http请求中的host头部，欺骗服务器生成包含恶意域名的链接或重定向。这可能导致缓存投毒、密码重置邮件劫持、绕过访问控制或利用其他依赖host头的漏洞。因此，对host头进行严格的验证是web应用安全的关键一环。

2. PHP代码层面的初步防御

在PHP应用中，我们通常会通过检查$_SERVER['HTTP_HOST']或$_SERVER['SERVER_NAME']变量来验证请求的主机头是否在允许的列表中。以下是一个典型的PHP防御代码示例：

注意事项：

• $_SERVER['HTTP_HOST']：直接反映客户端在请求中发送的Host头部。
• $_SERVER['SERVER_NAME']：通常由Web服务器根据其配置（如Apache的ServerName或Nginx的server_name）设置，代表服务器认为的当前主机名。在大多数情况下，它会与HTTP_HOST匹配，但若服务器配置不当或存在代理，两者可能存在差异。
• 始终使用一个明确的白名单来定义允许的主机名，而不是黑名单。

3. PHP防御的局限性：Apache DirectorySlash的影响

尽管上述PHP代码是有效的，但在某些特定场景下，它可能被绕过。一个常见的绕过场景发生在Apache服务器处理对目录的请求时，特别是当URL末尾缺少斜杠（/）时。

问题描述： 当用户访问http://localhost/mysite（不带斜杠）时，如果mysite是一个目录，Apache的mod_dir模块会默认执行一个内部重定向（通常是301 Moved Permanently）到http://localhost/mysite/（带斜杠）。如果攻击者在原始请求http://localhost/mysite中注入了一个恶意的Host头，这个重定向可能会使用被篡改的Host头生成新的URL。由于PHP脚本可能在重定向发生之前并未完全执行（或者说，原始请求被重定向后，PHP脚本才处理带有正确Host头的新请求），导致PHP的Host头验证机制被绕过。

4. Apache服务器层面的解决方案：禁用 DirectorySlash

为了解决上述问题，我们需要在Apache服务器层面进行配置，以防止这种重定向的发生。通过在.htaccess文件中禁用DirectorySlash指令，我们可以强制Apache在处理不带斜杠的目录请求时，直接查找DirectoryIndex文件（如index.php），而不是执行重定向。

立即学习“PHP免费学习笔记（深入）”；

在你的Web根目录或/mysite目录下的.htaccess文件中添加以下行：

# 禁用Apache自动为目录添加斜杠的重定向
DirectorySlash Off

# 如果需要确保目录请求被PHP处理，可以显式设置处理器
# 但对于包含DirectoryIndex（如index.php）的目录，通常不需要此行
# SetHandler application/x-httpd-php

配置说明：

WeShop唯象

WeShop唯象是国内首款AI商拍工具，专注电商产品图片的智能生成。

下载

• DirectorySlash Off：此指令指示Apache不要在访问目录时自动添加斜杠并进行重定向。当请求http://localhost/mysite时，Apache会直接在该目录下查找DirectoryIndex指定的文件（例如index.php）。
• SetHandler application/x-httpd-php：这行通常不是必需的，除非你的Apache配置非常特殊，或者你希望将整个目录作为PHP脚本来处理。在大多数标准PHP配置中，Apache会根据DirectoryIndex找到index.php文件，并由mod_php或php-fpm自动处理它。如果你的应用入口点是index.php，并且DirectoryIndex已正确设置，那么DirectorySlash Off足以解决重定向问题，PHP验证将在index.php被执行时生效。

工作原理： 当DirectorySlash Off生效后，对http://localhost/mysite的请求将不再触发Apache的重定向。相反，Apache会尝试直接在该目录下查找并执行DirectoryIndex文件（如index.php）。此时，PHP脚本会在处理原始请求时被执行，其中的Host头验证代码就能捕获到任何被篡改的Host头，从而阻止攻击。

5. 综合防御策略与最佳实践

为了构建一个健壮的防御体系，建议采用以下综合策略：

1. PHP代码验证（白名单机制）：

   • 始终在应用的入口点（如index.php）对$_SERVER['HTTP_HOST']和$_SERVER['SERVER_NAME']进行严格的白名单验证。
   • 确保白名单包含所有合法的域名和IP地址。

2. Apache服务器配置（禁用 DirectorySlash）：

   • 在.htaccess文件或Apache主配置文件中设置DirectorySlash Off，以防止因目录重定向导致的主机头注入绕过。
   • 确保你的DirectoryIndex配置正确，例如DirectoryIndex index.php index.html，以便Apache能够找到正确的入口文件。

3. 使用规范化URL：

   • 在应用内部，尽量使用绝对路径或基于$_SERVER['SERVER_NAME']或预定义常量构建的规范化URL，而不是直接依赖$_SERVER['HTTP_HOST']生成链接。
   • 可以通过Apache的mod_rewrite或Nginx的rewrite规则强制所有请求都使用一个规范的域名（例如，将www.example.com重定向到example.com）。

4. Web应用防火墙（WAF）：

   • 考虑部署WAF，它可以提供额外的安全层，在请求到达Web服务器之前对Host头进行检测和过滤。

总结

主机头注入是一个需要多层面防御的漏洞。单纯的PHP代码验证虽然是第一道防线，但不足以应对所有情况。结合Apache服务器的配置（特别是DirectorySlash Off），我们可以有效防止因服务器重定向而导致的主机头注入绕过。通过PHP代码验证、服务器配置以及规范化URL等综合措施，可以大大增强Web应用的安全性，有效抵御此类攻击。