ホスト・ヘッダー・インジェクション攻撃に対するセキュリティの確立

攻撃者が細工した HTTP リクエストを送信し、サーバーがリクエストの送信元を特定する際に参照するHostヘッダーを変更すると、ホストヘッダーインジェクション攻撃が発生する可能性があります。 サーバーが適切な検証を行わずにこの値を暗黙的に信頼すると、攻撃者は悪意のあるドメインを注入したり、ルーティングを操作したりすることができる。 その結果、不正な再送信や改ざんされた応答が発生したり、重要な機能が損なわれたりする可能性がある。

ホスト・ヘッダー・インジェクション攻撃から保護し、正当な値のみが受け入れられるようにするには、「eqaprof.envファイルにサーバー・コンフィギュレーション「trustedHostnames 」を設定する。 リクエストを信頼したいホスト名またはIPアドレスを特定し、明示的にエ ントリとして追加する。 例： 'trustedHostnames=localhost:8143.