http://www.stackoverflow.com./不起作用,注意尾随点。
Bad Request - Invalid Hostname HTTP Error 400. The request hostname is invalid. 应该configuration服务器拒绝任何URL没有尾随点? (没有尾随点,它们不是FQDN,每个RFC都是相对域名。)
不能stream氓DHCP服务器可以推送一个DNS后缀searchpath客户端和利用这个?
假设stream氓DHCP服务器能够推送dnssearch后缀“evildomain.com”,用户去chase.com,然后将导致去“chase.com.evildomain.com”。 用户将去“chase.com”。 (后面的点,它的FQDN)不会受到这个漏洞攻击。
几乎所有在媒体上看到的URL都是相对的(因为尾部的点不是显式的,只有在底层库添加尾部点时才成为真正的FQDN)。
我们是否应该尽可能不强制实施绝对域名或FQDN?
在Windows上,恶意的web服务器不能简单地改变最终用户的dns后缀searchpath吗? 在* nix框中,需要权限升级来更新resolv.conf(其中configuration了dnssearch后缀),但nix用户是否仍然不易受DHCP欺骗情况的影响?
是的,这是一个漏洞。 不 ,服务器在使用互联网相关域名进行查询时,不应停止提供内容。
试图找出一个名字是互联网的亲戚或只是相对不是一个良好的无状态的一般解决scheme的问题。 一个糟糕的无状态解决scheme是取消所有相关命名的使用。 存在相对名称是有正当理由的。
应注意确保使用的FQDN与互联网相关域名具有相同的内容。 这对于http服务器来说是个大问题。
如果你想热心而不讨厌:
308或301 ,以便将客户指向正确的方向。 每当我configuration任何接受DNS域名的东西,我都会包含尾部的点。 一些系统在尝试validationinput时拒绝了这一点,这是一个耻辱。 如果您有两部分域后缀,那么依赖于DNS传递的Windows客户端可能会很麻烦。 MS已经logging了解决方法。
参考resolv.conf …等效的Windowsconfiguration还需要特权提升来实现更改。
默认情况下,DNS客户端在尝试searchpath之前首先尝试包含至less一个点的查询作为FQDN。