PHP $ _SERVER ['HTTP_HOST']対$ _SERVER ['SERVER_NAME']、manページを正しく理解していますか？

多くの検索を行い、PHPの$ _SERVERドキュメントも読みました。私のサイト全体で使用されている単純なリンク定義のPHPスクリプトに何を使用するかについて、この権利はありますか？

$_SERVER['SERVER_NAME'] これは、Webサーバーの構成ファイル（私の場合はApache2）に基づいており、（1）VirtualHost、（2）ServerName、（3）UseCanonicalNameなどのいくつかのディレクティブによって異なります。

$_SERVER['HTTP_HOST'] クライアントからのリクエストに基づいています。

したがって、私のスクリプトをできるだけ互換性のあるものにするために使用する適切なものは、私には思えます$_SERVER['HTTP_HOST']。この仮定は正しいですか？

フォローアップコメント：

この記事を読んだ後、私は少し偏執狂になったと思いますが、一部の人々は「彼らはどの$_SERVER変数も信用しないだろう」と述べました：

• http://markjaquith.wordpress.com/2009/09/21/php-server-vars-not-safe-in-forms-or-links/

• http://php.net/manual/en/reserved.variables.server.php#89567（コメント：Vladimir Kornea 14-Mar-2009 01:06）

どうやら議論は主に$_SERVER['PHP_SELF']、なぜXSS攻撃を防ぐために適切にエスケープせずにフォームアクション属性でそれを使用すべきでないかについてです。

上記の私の元の質問についての私の結論は$_SERVER['HTTP_HOST']、フォームで使用されている場合でも、XSS攻撃を心配する必要なく、サイト上のすべてのリンクに使用しても「安全」であるということです。

私が間違っていたら訂正してください。

それはおそらく皆の最初の考えです。しかし、それはもう少し難しいです。Chris Shiflettの記事SERVER_NAMEVersusをHTTP_HOST参照してください。

特効薬はないようです。Apacheに正規名を使用させる場合にのみ、常に正しいサーバー名がで取得されますSERVER_NAME。

そのため、それを使用するか、ホワイトリストに対してホスト名を確認します。

$allowed_hosts = array('foo.example.com', 'bar.example.com');
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
    header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
    exit;
}

補足事項-サーバーが80以外のポートで実行されている場合（開発/イントラネットマシンでは一般的である可能性があります）HTTP_HOST、ポートは含まれますが、含まれSERVER_NAMEません。

$_SERVER['HTTP_HOST'] == 'localhost:8080'
$_SERVER['SERVER_NAME'] == 'localhost'

（少なくとも、私がApacheポートベースの仮想ホストで気付いたのはそれです）

マイクは下に述べたように、HTTP_HOSTないではない含まれている:443（あなたは私がテストしていない非標準のポート上で実行している場合を除き）HTTPS上で動作しているとき。

どちらかを使用します。多くの場合、SERVER_NAMEはとにかくHTTP_HOSTから読み込まれるだけなので、どちらも同等に（安全ではありません）安全です。私は通常HTTP_HOSTを使用するので、ユーザーは開始したときの正確なホスト名を維持します。たとえば、.comドメインと.orgドメインに同じサイトがある場合、特に.orgから.comに誰かを送信したくありません。他のドメイン。

どちらの方法でも、Webアプリケーションが既知の正常なドメインに対してのみ応答することを確認する必要があります。これは、（a）Gumboのようなアプリケーション側のチェックで、または（b）不明なホストヘッダーを与えるリクエストに応答しないドメイン名の仮想ホストを使用して実行できます。

この理由は、サイトに古い名前でのアクセスを許可すると、DNS再バインド攻撃にさらされることになります（別のサイトのホスト名がIPを指している場合、ユーザーは攻撃者のホス​​ト名を使用してサイトにアクセスし、ホスト名は攻撃者のIPに移動し、Cookie / Authを使用して）および検索エンジンのハイジャック（攻撃者がサイトで自分のホスト名をポイントし、検索エンジンにそれを「最良の」プライマリホスト名として認識させる）。

どうやら議論は主に$ _SERVER ['PHP_SELF']についてであり、なぜXSS攻撃を防ぐために適切なエスケープなしにフォームアクション属性でそれを使用すべきでないのかです。

ふff。さて、あなたは使用しないでください何をして任意のでエスケープせずに属性htmlspecialchars($string, ENT_QUOTES)ので、そこにサーバー変数について何も特別な存在です。

これはSymfonyがホスト名を取得するために使用する詳細な翻訳です（よりリテラルな翻訳については2番目の例を参照してください）：

function getHost() {
    $possibleHostSources = array('HTTP_X_FORWARDED_HOST', 'HTTP_HOST', 'SERVER_NAME', 'SERVER_ADDR');
    $sourceTransformations = array(
        "HTTP_X_FORWARDED_HOST" => function($value) {
            $elements = explode(',', $value);
            return trim(end($elements));
        }
    );
    $host = '';
    foreach ($possibleHostSources as $source)
    {
        if (!empty($host)) break;
        if (empty($_SERVER[$source])) continue;
        $host = $_SERVER[$source];
        if (array_key_exists($source, $sourceTransformations))
        {
            $host = $sourceTransformations[$source]($host);
        } 
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

時代遅れ：

これは、ベストプラクティスの順序で可能な限りあらゆる方法からホスト名を取得しようとするSymfonyフレームワークで使用されるメソッドの裸のPHPへの私の翻訳です。

function get_host() {
    if ($host = $_SERVER['HTTP_X_FORWARDED_HOST'])
    {
        $elements = explode(',', $host);

        $host = trim(end($elements));
    }
    else
    {
        if (!$host = $_SERVER['HTTP_HOST'])
        {
            if (!$host = $_SERVER['SERVER_NAME'])
            {
                $host = !empty($_SERVER['SERVER_ADDR']) ? $_SERVER['SERVER_ADDR'] : '';
            }
        }
    }

    // Remove port number from host
    $host = preg_replace('/:\d+$/', '', $host);

    return trim($host);
}

$_SERVER['HTTP_HOST']フォームで使用されている場合でも、XSS攻撃を心配することなく、サイト上のすべてのリンクに使用することは「安全」ですか？

はい、それはだ、安全に使用するために$_SERVER['HTTP_HOST']、（とさえ$_GETと$_POST）長いあなたがそれらを検証するようにそれらを受け入れる前に。これは私が安全な運用サーバーのために何をするかです：

/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
$reject_request = true;
if(array_key_exists('HTTP_HOST', $_SERVER)){
    $host_name = $_SERVER['HTTP_HOST'];
    // [ need to cater for `host:port` since some "buggy" SAPI(s) have been known to return the port too, see http://goo.gl/bFrbCO
    $strpos = strpos($host_name, ':');
    if($strpos !== false){
        $host_name = substr($host_name, $strpos);
    }
    // ]
    // [ for dynamic verification, replace this chunk with db/file/curl queries
    $reject_request = !array_key_exists($host_name, array(
        'a.com' => null,
        'a.a.com' => null,
        'b.com' => null,
        'b.b.com' => null
    ));
    // ]
}
if($reject_request){
    // log errors
    // display errors (optional)
    exit;
}
/* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * */
echo 'Hello World!';
// ...

の利点$_SERVER['HTTP_HOST']は、その動作がより明確に定義されていること$_SERVER['SERVER_NAME']です。コントラスト➫➫：

Host：ヘッダーのコンテンツ（存在する場合）。

と：

現在のスクリプトが実行されているサーバーホストの名前。

より適切に定義されたインターフェースを使用する $_SERVER['HTTP_HOST']ということは、より多くのSAPIが信頼できる明確に定義された動作を使用して実装することを意味します。（他とは異なります。）ただし、それでも完全にSAPIに依存しています➫➫：

すべてのWebサーバーがこれらの[ $_SERVERエントリ] を提供するという保証はありません。サーバーは一部を省略したり、ここに記載されていないものを提供したりする場合があります。

ホスト名を適切に取得する方法を理解するには、何よりもまず、コードのみを含むサーバーには、ネットワーク上の自身の名前を知る手段（検証の前提条件）がないことを理解する必要があります。独自の名前を提供するコンポーネントとインターフェースする必要があります。これは次の方法で実行できます。

• ローカル構成ファイル

• ローカルデータベース

• ハードコードされたソースコード

• 外部リクエスト（curl）

• クライアント/攻撃者のHost:リクエスト

• 等

通常は、ローカル（SAPI）構成ファイルを介して行われます。Apache➫➫などで正しく設定したことに注意してください。

動的仮想ホストを通常のホストのように見せるために、いくつかのことを「偽造」する必要があります。

最も重要なのは、Apacheが自己参照URLなどを生成するために使用するサーバー名です。これはServerNameディレクティブで構成され、SERVER_NAME環境変数を介してCGIで使用できます。

実行時に使用される実際の値は、UseCanonicalName設定によって制御されます。

で UseCanonicalName Off、サーバー名の内容から来るHost:リクエストのヘッダー。これ UseCanonicalName DNSは、仮想ホストのIPアドレスの逆DNSルックアップから取得されます。前者の設定は名前ベースの動的仮想ホスティングに使用され、後者は** IPベースのホスティングに使用されます。

場合は何もありませんので、Apacheは、サーバー名をうまくすることはできませんHost:ヘッダーまたは失敗したルックアップDNS 、その後で構成されている値ServerNameの代わりに使用されますが。

2つの主な違い$_SERVER['SERVER_NAME']は、サーバー制御の変数であるのに対し$_SERVER['HTTP_HOST']、ユーザー制御の値です。

経験則では、ユーザーからの値を決して信頼しないので$_SERVER['SERVER_NAME']、より良い選択です。

Gumboが指摘したように、設定しない場合、Apacheはユーザー指定の値からSERVER_NAMEを構築しますUseCanonicalName On。

編集：以上すべてのことを言いましたが、サイトが名前ベースの仮想ホストを使用している場合、デフォルトのサイトではないサイトにアクセスするにはHTTPホストヘッダーが唯一の方法です。

それは$_SERVER['HTTP_HOST']クライアントからのヘッダーに依存しているので、私は確信がなく、本当に信頼していません。別の方法では、クライアントから要求されたドメインが私のドメインではない場合、DNSとTCP / IPプロトコルが正しい宛先をポイントするため、クライアントは私のサイトにアクセスできません。ただし、DNS、ネットワーク、またはApacheサーバーを乗っ取ることが可能かどうかはわかりません。安全のために、環境でホスト名を定義し、と比較し$_SERVER['HTTP_HOST']ます。

追加SetEnv MyHost domain.comルートに.htaccessファイルにし、common.phpの中THSコードを追加します。

if (getenv('MyHost')!=$_SERVER['HTTP_HOST']) {
  header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
  exit();
}

このCommon.phpファイルをすべてのphpページに含めます。このページでは、リクエストごとに必要な処理を行ったりsession_start()、セッションCookieを変更したり、postメソッドが異なるドメインからのものである場合は拒否したりします。

XSSを使用しても常に存在します$_SERVER['HTTP_HOST']、$_SERVER['SERVER_NAME']または$_SERVER['PHP_SELF']

まず、良い答えと説明をありがとうございました。これは、ベースURLを取得するためのすべての回答に基づいて私が作成した方法です。非常にまれな状況でのみ使用します。そのため、XSS攻撃などのセキュリティ問題に重点を置くことはありません。多分誰かがそれを必要としています。

// Get base url
function getBaseUrl($array=false) {
    $protocol = "";
    $host = "";
    $port = "";
    $dir = "";  

    // Get protocol
    if(array_key_exists("HTTPS", $_SERVER) && $_SERVER["HTTPS"] != "") {
        if($_SERVER["HTTPS"] == "on") { $protocol = "https"; }
        else { $protocol = "http"; }
    } elseif(array_key_exists("REQUEST_SCHEME", $_SERVER) && $_SERVER["REQUEST_SCHEME"] != "") { $protocol = $_SERVER["REQUEST_SCHEME"]; }

    // Get host
    if(array_key_exists("HTTP_X_FORWARDED_HOST", $_SERVER) && $_SERVER["HTTP_X_FORWARDED_HOST"] != "") { $host = trim(end(explode(',', $_SERVER["HTTP_X_FORWARDED_HOST"]))); }
    elseif(array_key_exists("SERVER_NAME", $_SERVER) && $_SERVER["SERVER_NAME"] != "") { $host = $_SERVER["SERVER_NAME"]; }
    elseif(array_key_exists("HTTP_HOST", $_SERVER) && $_SERVER["HTTP_HOST"] != "") { $host = $_SERVER["HTTP_HOST"]; }
    elseif(array_key_exists("SERVER_ADDR", $_SERVER) && $_SERVER["SERVER_ADDR"] != "") { $host = $_SERVER["SERVER_ADDR"]; }
    //elseif(array_key_exists("SSL_TLS_SNI", $_SERVER) && $_SERVER["SSL_TLS_SNI"] != "") { $host = $_SERVER["SSL_TLS_SNI"]; }

    // Get port
    if(array_key_exists("SERVER_PORT", $_SERVER) && $_SERVER["SERVER_PORT"] != "") { $port = $_SERVER["SERVER_PORT"]; }
    elseif(stripos($host, ":") !== false) { $port = substr($host, (stripos($host, ":")+1)); }
    // Remove port from host
    $host = preg_replace("/:\d+$/", "", $host);

    // Get dir
    if(array_key_exists("SCRIPT_NAME", $_SERVER) && $_SERVER["SCRIPT_NAME"] != "") { $dir = $_SERVER["SCRIPT_NAME"]; }
    elseif(array_key_exists("PHP_SELF", $_SERVER) && $_SERVER["PHP_SELF"] != "") { $dir = $_SERVER["PHP_SELF"]; }
    elseif(array_key_exists("REQUEST_URI", $_SERVER) && $_SERVER["REQUEST_URI"] != "") { $dir = $_SERVER["REQUEST_URI"]; }
    // Shorten to main dir
    if(stripos($dir, "/") !== false) { $dir = substr($dir, 0, (strripos($dir, "/")+1)); }

    // Create return value
    if(!$array) {
        if($port == "80" || $port == "443" || $port == "") { $port = ""; }
        else { $port = ":".$port; } 
        return htmlspecialchars($protocol."://".$host.$port.$dir, ENT_QUOTES); 
    } else { return ["protocol" => $protocol, "host" => $host, "port" => $port, "dir" => $dir]; }
}