host header,就是請求消息頭裏面的壹個字段,如下圖
SERVER_NAME應該是指Nginx或者tomcat裏面的壹個白名單機制,意思是配置之後,只有白名單內的ip才被允許訪問,具體怎麽用不清楚。
解決這個漏洞,網上有這種方案,可以壹試:
打開tomcat的conf目錄中的server.xml文件,在<Host>節點做如下配置:
<Host name="localhost" ?appBase="webapps" ?unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false">?
<Alias>10.1.8.158</Alias><!--10.1.8.158 本地局域網--> ?
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" ?resolveHosts="false" pattern="%a %A %b %B %h %H %l %m %p %s %S %t %u %U %v %D %T" /> ?
</Host>