如何在Nginx中设置 主机头注入攻击

在Nginx中，可以通过以下配置来设置主机头注入攻击的防御：

1. 禁止使用IP地址访问网站，只允许使用域名访问。在server块中添加以下代码：

server {
    listen 80;
    server_name example.com;
    if ($host ~* "\d+\.\d+\.\d+\.\d+") {
        return 444;
    }
    ...
}

2. 对于每个请求，都进行主机头检查。在server块中添加以下代码：

server {
    listen 80;
    server_name example.com;
    if ($host !~* ^(www\.)?example\.com$) {
        return 444;
    }
    ...
}

3. 针对具体的请求，可以在location块中添加以下代码，对请求的主机头进行限制：

location / {
    if ($http_host != "example.com") {
        return 444;
    }
    ...
}

4. 如果需要允许多个域名访问，可以在server块中添加以下代码：

server {
    listen 80;
    server_name example.com www.example.com;
    if ($host !~* ^(www\.)?example\.com$) {
        return 444;
    }
    ...
}

以上配置可以有效地防御主机头注入攻击，但需要注意的是，如果网站需要允许其他域名访问，或者使用CDN等服务，需要根据具体情况进行相应的配置