应使用 $_SERVER['HTTP_HOST'] 获取原始域名并剥离端口后校验白名单,支持子域通配和大小写忽略,拒绝非法Host,禁止用$_SERVER['SERVER_NAME']或模糊匹配。
用 $_SERVER['HTTP_HOST'] 获取原始域名,别用 $_SERVER['SERVER_NAME']
真实请求中,$_SERVER['HTTP_HOST'] 是客户端发来的 Host 头,反映用户实际访问的域名(比如 shop.example.com 或 example.com:8080);而 $_SERVER['SERVER_NAME'] 来自服务器配置,可能被 Nginx/Apache 强制覆盖,不具可信性。白名单校验必须基于前者。
注意点:
-
$_SERVER['HTTP_HOST']可能带端口(如dev.example.com:8000),白名单比对前建议先剥离端口:parse_url('http://' . $_SERVER['HTTP_HOST'], PHP_URL_HOST) - 若应用走反向代理(如 Nginx + PHP-FPM),需确认
proxy_set_header Host $host;已正确透传,否则HTTP_HOST可能为空或为代理地址 - HTTPS 下部分旧环境可能误将
HTTP_HOST写成HTTPS_HOST—— 不存在该变量,纯属误写
白名单数组定义与域名匹配逻辑:支持子域、忽略大小写、防伪协议头
白名单应是纯域名列表(不含 http:// 或路径),比对时统一转小写,并考虑子域通配需求(如允许 *.example.com)。
常见做法:
立即学习“PHP免费学习笔记(深入)”;
- 用
in_array(strtolower($host), $whitelist)判断精确匹配 - 若需支持通配符,遍历白名单项,对形如
'*.example.com'的条目,用substr($host, -strlen($pattern) + 1) === substr($pattern, 1)检查后缀 - 绝对不要用
strpos($host, $pattern)直接模糊匹配 ——example.com会错误匹配myexample.com - 避免用正则(如
preg_match)做简单域名判断,无必要开销,且易写错边界
注意 HTTPS 重定向和本地开发环境的干扰
生产环境常强制 HTTPS,但本地开发(localhost、127.0.0.1)或测试环境(test.app)通常不走 HTTPS,这些域名必须显式加入白名单,否则中间件直接拦截。
典型疏漏:
- 白名单只写了
www.example.com和example.com,漏掉localhost,导致本地调试 500 或跳转失败 - CI/CD 测试用 Docker 网络,容器内用服务名(如
php-app)通信,该名称也需入白名单 - 某些 SaaS 前端托管平台(Vercel、Netlify)会以随机子域代理请求,此时需用通配符或动态提取主域再校验
把判断逻辑封装成可复用函数,避免硬编码在入口文件
把白名单校验从 index.php 或中间件里抽出来,方便单元测试和多处调用。例如:
function isDomainWhitelisted(string $host, array $whitelist): bool
{
$host = strtolower(trim($host));
$host = parse_url('http://' . $host, PHP_URL_HOST) ?: $host;
foreach ($whitelist as $pattern) {
$pattern = strtolower(trim($pattern));
if ($pattern === $host) {
return true;
}
if (str_starts_with($pattern, '*.') && strlen($host) > strlen($pattern) - 1) {
$suffix = substr($pattern, 1);
if (substr($host, -strlen($suffix)) === $suffix) {
return true;
}
}
}
return false;}
// 使用
$allowed = isDomainWhitelisted($_SERVER['HTTP_HOST'] ?? '', [
'example.com',
'www.example.com',
'*.staging.example.com',
'localhost',
]);
这个函数不依赖全局状态,参数明确,测试时可直接传不同 $host 和 $whitelist 覆盖各种边界情况。最常被忽略的是 parse_url 对非法 Host 的容错处理 —— 若 HTTP_HOST 被恶意构造为 evil.com@notreal.com,parse_url 会返回 false,此时应拒绝而非降级匹配。
