Django的SuspiciousOperation HTTP_HOST头无效

如果您的ALLOWED_HOSTS设置正确，则可能是有人通过欺骗标头来检测您的站点是否存在漏洞。

Django开发者现在正在讨论将这个从500内部服务器错误改为400响应。 看到这张票 。

如果您使用Nginx将请求转发到在Gunicorn / Apache / uWSGI上运行的Django，则可以使用以下命令来阻止错误的请求。 感谢@PaulM的build议和这个博客文章的例子。

 upstream app_server { server unix:/tmp/gunicorn_mydomain.com.sock fail_timeout=0; } server { ... ## Deny illegal Host headers if ($host !~* ^(mydomain.com|www.mydomain.com)$ ) { return 444; } location / { proxy_pass http://app_server; ... } } 

在使用Nginx的时候，你可以设置你的服务器，只要求你首先到达Django的主机。 这应该不会给你可疑的操作错误了。

 server { # default server listen 80; server_name _ default; return 444; } server { # redirects listen 80; server_name example.com old.stuff.example.com; return 301 http://www.example.com$request_uri; } server { # app listen 80; server_name www.example.com; # only hosts in ALLOWED_HOSTS here location / { # ... } # ... your config/proxy stuff } 

在Django的新版本中已经修复了这个问题，但是如果你使用的是受影响的版本（例如1.5），你可以在你的logging器处理程序中添加一个filter来消除这些，正如本博文所述。

扰stream板：

 from django.core.exceptions import SuspiciousOperation def skip_suspicious_operations(record): if record.exc_info: exc_value = record.exc_info[1] if isinstance(exc_value, SuspiciousOperation): return False return True LOGGING = { 'version': 1, 'disable_existing_loggers': False, 'filters': { 'require_debug_false': { '()': 'django.utils.log.RequireDebugFalse', }, # Define filter 'skip_suspicious_operations': { '()': 'django.utils.log.CallbackFilter', 'callback': skip_suspicious_operations, }, }, 'handlers': { 'mail_admins': { 'level': 'ERROR', # Add filter to list of filters 'filters': ['require_debug_false', 'skip_suspicious_operations'], 'class': 'django.utils.log.AdminEmailHandler' } }, 'loggers': { 'django.request': { 'handlers': ['mail_admins'], 'level': 'ERROR', 'propagate': True, }, } }