host header,就是请求消息头里面的一个字段,如下图
SERVER_NAME应该是指Nginx或者tomcat里面的一个白名单机制,意思是配置之后,只有白名单内的ip才被允许访问,具体怎么用不清楚。
解决这个漏洞,网上有这种方案,可以一试:
打开tomcat的conf目录中的server.xml文件,在<Host>节点做如下配置:
<Host name="localhost" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false">
<Alias>10.1.8.158</Alias><!--10.1.8.158 本地局域网-->
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs" prefix="localhost_access_log." suffix=".txt" resolveHosts="false" pattern="%a %A %b %B %h %H %l %m %p %s %S %t %u %U %v %D %T" />
</Host>