gpt4 book ai didi

heroku - 传递给 Heroku 应用程序的主机 header 是否可信?

转载 作者:行者123 更新时间:2023-12-04 02:14:24 26 4
gpt4 key购买 nike

我正在开发可通过多个域访问的 Heroku 应用程序。我需要区分请求与哪个特定域相关。例如,构建 Location header 中返回的资源的绝对 URL 时需要这样做。

我能否相信到达 Heroku 应用程序请求中的 Host header 始终指向与该应用程序关联的域(默认 xyz.herokuapp.com 域或使用 heroku domains:add 命令添加的域之一)?

我知道这个 header 可以由用户设置为任何值,但 Heroku 前端服务器需要进行某种过滤以将请求分派(dispatch)到正确的应用程序。这种过滤防弹是否足以信任 Host header ?

最佳答案

如果请求到达您的应用程序,那么 Host header 将为您的应用程序配置。

如果 Host header 不是您的,Heroku 服务器会将请求发送到其他地方。

您可以通过发送错误的主机在命令行上证明这一点。例如:

$ curl "http://ismy.herokuapp.com"-H "Host: notmy.herokuapp.com"

所以,您的问题的答案是肯定的。我会相信它。

关于heroku - 传递给 Heroku 应用程序的主机 header 是否可信?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13644108/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com