如何禁用空主机头

一、Nginx 空主机头禁止

如果 Nginx 配置了空主机头，那么任意域名解析指向到服务器IP，都可以访问站点，为了防止域名解析恶意指向主机，可以将 Nginx 默认的空主机头禁止，方法是通过修改 Nginx 的主配置文件 nginx.conf ，使其主机头返回错误信息 500

nginx配置默认路径：/usr/local/nginx/conf/nginx.conf

1. 直接屏蔽未绑定域名的虚拟主机访问，返回 500 错误（这个错误信息可以自定义）：

1. server

2. {

3. listen 80 ;

4. return 500 ;

5. }

2. 可以做一个URL重写，把访问的流量导入到需要的网站，比如说网站的九游会AG首页，配置的时候 http://www.xrcloud.net 替换成需要的URL即可：

1. server

2. {

3. listen 80 default ;

4. rewrite ^(.*) http : //www.xrcloud.net permanent ;

5. }

3. 禁止空主机头的同时也禁止通过IP访问，可以写成:

1. server

2. {

3. listen 80 default;

4. server_name _ ;

5. return 500 ;

6. }

这里的配置需要添加到 nginx 主配置文件里，和主配置文件的 server 并列成同一层级，可以参考下图：

二、Apache 空主机头禁止

防止域名解析，禁止apache默认的空主机头：

apache配置默认路径：/etc/httpd/conf/httpd.conf

1. 编辑配置文件，在站点配置之前再增加一个站点（红色是需要增加的站点配置，蓝色是正在使用的站点配置）

<VirtualHost *:80>
ServerName *****
ErrorDocument 404 /404.html
<Directory />
Options Indexes FollowSymLinks
AllowOverride None
</Directory>
</VirtualHost>

<VirtualHost *:80>
ServerName www.xrcloud.com
DocumentRoot "/var/www/html"
</VirtualHost>

2. apache将第一个virtualhost作为默认配置，然后依次向下查找，如果有匹配中的，则采用新匹配到的配置项

这样就可以将允许的访问主机头之外的恶意解析请求拦截在外；