关键信息摘录 漏洞类型:Host Header Poisoning(主机头污染) 修复措施: - 配置文件更改: - 在 中添加 配置项 - 默认设定为 ,表示信任在 中指定的主机及其可能的子域 - 代码逻辑更改: - 在 文件中,对密码重置链接生成时强制进行可信主机检查 - 固定代码如下: 关联问题与变更来源: - Issue #5423 - 代码来源自 ,并从中 提交被精心挑选合并 提交时间:2021年1月5日 总结 此变更旨在通过添加主机头验证防护机制来防范主机头污染攻击。攻击者若成功实现主机头污染,可能影响应用内的安全性逻辑如重定向配置,导致敏感信息泄露或其他安全风险。变更通过双重保护方式,不仅依赖配置文件中的设定,还强制在密码重置流程中实施检查,确保即使配置文件未启用,应用仍能在关键环节进行主机头验证。