NGINX direcționează către gazda virtuală greșită atunci când antetul gazdei conține caractere două puncte

Nginx.conf meu are mai multe secțiuni „server” și o secțiune de server catch-all. Iată un exemplu de nginx.conf pentru a vă face o idee:

utilizator www-date;
worker_proceses auto;
worker_cpu_affinity auto;
pid /run/nginx.pid;

evenimente {
    muncitor_conexiuni 4000;
    utilizați epoll;
    accept_mutex dezactivat;
}

http {
    includ /etc/nginx/mime.types;
    aplicație de tip_default/octet-stream;
    error_log /var/log/nginx/error.log;

    Server {
        asculta 80;

        nume_server foo.com;

        Locație / {
            default_type text/plain;
            returnează 200 „bună ziua de la foo.com”;
        }

        pagina_eroare 500 502 503 504 /500.html;
    }

    Server {
        asculta 80 default_server;
        numele serverului _;

        Locație / {
            returnează 403 „scuze”;
        }
    }

}

Mă aștept ca serverul să returneze 403 dacă antetul „Gazdă” este altceva decât „foo.com”.

Se pare că cineva rulează Burp Suite pe serverul meu și am observat un comportament interesant când trimit un antet „Gazdă: foo.com:more-stuff-here”: NGINX direcționează cererea către prima secțiune „server”. Se pare că ignoră două puncte și tot ce se află după el în valoarea antetului.

Îl pot reproduce local cu nginx.conf de mai sus:

$ curl -H „Gazdă: foo.com” http://127.0.0.1
salutare de la foo.com

$ curl -H „Gazdă: foo.com:unexpected-content” http://127.0.0.1
salutare de la foo.com

$ curl -H „Gazdă: bar.com” http://127.0.0.1
scuze

De ce face NGINX asta? Este acesta un comportament așteptat? Ce ar trebui să schimb în nginx.conf pentru a mă asigura că solicitările cu antetul „Host: foo.com:more-stuff-here” ajung la blocul implicit?

Actualizați: Pentru oricine care cercetează aceeași problemă, am creat și eu un bilet în trackerul problemelor NGINX.

Următoarele ar putea funcționa pentru implicit_server:

Server {
    asculta 80 default_server;

    nume_server _ ~exemplu\.com:;

    Locație / {
        returnează 403 „scuze”;
    }
}

Partea importantă este tilda ~, care indică o potrivire a expresiei regulate.

Singura alternativă la care m-aș putea gândi ar fi să codific ceva la nivelul aplicației de pe partea serverului pentru a verifica valoarea gazdei și a returna răspunsul 403 în cod.

Totuși, aceasta nu este cu adevărat modalitatea corectă de a face acest lucru, deoarece problema este o problemă a clientului de rezolvat și nu pentru aplicația dvs.

de exemplu, luând din acest ASA raspuns Având în vedere o aplicație PHP, puteți modifica cu ușurință această logică pentru a obține efectul dorit, rețineți în mod special verificarea pentru SERVER_PORT conform Răspunsul lui Gerald

$allowed_hosts = array('foo.example.com', 'bar.example.com');
$allowed_ports = array(80,443);
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts) || !in_array($_SERVER['SERVER_PORT'], $allowed_ports )) {
    antet($_SERVER['SERVER_PROTOCOL'].' 400 Solicitare greșită');
    Ieșire;
}