如果主机标头与 Apache 中的请求 URL 不同，如何拒绝主机标头？

这没有意义，因为HostApache 首先通过标头来了解 URL。

常规 HTTP 请求不会向 Web 服务器提供文字 URL。如果您使用-v选项运行 curl，您会看到请求看起来像GET /users/login，即仅存在路径（和查询字符串）——它可能与您想象的不同 GET https://a.mydomain.com/users/login。（代理使用后者，普通请求不使用。）

那么，当发出 HTTP 请求时，URL 的主机名部分会去哪里呢？就 HTTP 而言，它唯一Host:去的地方是标头。因此，标头不可能“不同于请求的 URL”，因为它就是请求的 URL。

换句话说，更改 Host 标头实际上并不比更改 URL 更能“欺骗服务器”；只需这样做https://b.mydomain.com/users/login就会产生同样的效果。

可能还有一些其他问题“专家”试图警告您（例如，也许他们正在谈论尝试发送两个Host 标头的请求，我相信 Apache 和 PHP 都已经对此进行了防范；或者也许他们的意思是服务器接受不匹配的 TLS SNI 和 HTTP Host，这本身也不是什么大问题），但您需要向他们寻求澄清。

我大胆猜测，您的应用程序不会按域隔离 PHP 会话（或身份验证令牌），因此，如果用户登录并收到域 A 的会话 cookie（或访问令牌），但随后尝试发送域 B 的相同令牌，则应用程序会接受它作为域 B 的有效身份验证。这将是一个重大的安全问题，但与欺骗 Host 标头无关。

现在，PHP确实知道它被调用的是哪个域（$_SERVER["SERVER_NAME"]和/或$_SERVER["HTTP_HOST"]- 前者来自 Apache，后者实际上是标Host:头；PHP 实际上通过字段接收所有标头HTTP_*），所以如果我猜对了，那么可能需要存储这些字段并将其与 PHP 会话进行比较（或与您发布的任何 JWT 的受众或您用于身份验证的任何其他内容进行比较）。

但同样，这只是一个猜测，你应该请专家为你提供更具体的解释，说明它们的真实含义。

您误解了这里的漏洞，以顶部帖子中的示例为例：

curl 'https://a.mydomain.com/users/login' \
  -H 'Host: b.mydomain.com' \
  --data-raw $'{"email":"[email protected]","password":"*****"}'

这将通过 SNI 向服务器进行身份验证a.mydomain.com，然后发送主机头b.mydomain.com。

Apache 默认会检测到这种情况，将错误记录到日志文件并返回 400 错误。

通过 SNI 提供的主机名...和通过 HTTP 提供的主机名...不同

另请参阅： https： //security.stackexchange.com/questions/134021/what-kind-of-attack-is-prevented-by-apache2s-error-code-ah02032-hostname-prov

Apache 在变量中公开检测到的 SNI 的结果SSL_TLS_SNI

请注意，您正在使用ServerAlias而不是为每个服务器创建单独的块。如果 SNI 告知它已连接到a.example.com，然后发送 Host 标头b.example.com，因为从 apaches 的角度来看，它是允许请求的同一台服务器。

您希望拆分每台服务器，以确保 Apache 能够检测到 SNI 和主机头的不匹配。您可以使用块Include来加载通用配置文件，这样您就不必重复