在这里和那里的两个SO问题普遍认为,使用.local作为内部networking是一个坏主意。
其中一条评论指出:
但是:不要使用已经用于公共生产服务的真实域名。 www.example.com和* .internal.example.com之间允许的各种交互不允许在www.example.com和* .example.net之间进行,最值得一提的是跨站点cookie设置。 在同一个域中运行内部和外部服务增加了公共服务的妥协会给内部服务带来一些入口的风险,相反,不安全的内部服务会引起内部对外部服务的滥用。 – bobince
这可以解释为内部networking使用.local的好处吗? 有什么其他的select来减轻安全风险?
使用.local是一个安全风险 。 根据RFC 6762第3节 ,该顶级域名是为多播DNS保留的。 这意味着如果您将其用于自己的机器,则networking上的任何Android,Linux,iOS或OSX设备都可以(合法且正确地)对查询做出响应。 从安全的angular度来看,不知道你的内部DNS答案来自哪里并不是一个好的举措。
而不是.local ,使用只有内部的子域名才能正常注册到您的正常域。