Хорошая ли практика проверять домен через HTTP_HOST?

Question

[mark_me]

Есть несколько доменов, которые ссылаются на один и тот же сервер. Чтобы выдавать динамическую информацию я проверяю домен через $_SERVER['HTTP_HOST'] и выдаю нужную страничку. Какие подводные камни?

$allowed_hosts = array('domain.ru', 'domain2.ru');

if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts)) {
    header($_SERVER['SERVER_PROTOCOL'].' 400 Bad Request');
    exit();
}

Answer 1

[Sanes]

Бестолковая затея. Если в плане защиты, как говорят ответы выше. Сделайте заглушку на хост по-умолчанию. Все, кто не прописан на хосте веб-сервера попадут на заглушку.
Для роутинга вроде так и делается.

Comments

[mark_me]

Мне для показа нужной странички с одного файла для разных доменов, только и всего. Поэтому и спрашиваю, не получиться так, что пользователь каким-то образом не сможет попасть на сайт.

[Sanes]

mark_me, на уровне веб-сервера разруливаются несуществующие домены.
https://doc.ispsystem.ru/index.php/%D0%9F%D1%80%D0...

Answer 2

[sim3x]

Да, хорошая практика защищающая от атак
https://docs.djangoproject.com/en/2.2/topics/secur...

Comments

[Sanes]

от каких атак?

[sim3x]

Sanes, по линку есть детали

Answer 3

[hell]

Если у вас стоит (или появится) reverse proxy, результаты работы вашего кода вас удивят.
Корректнее будет использовать $_SERVER['SERVER_NAME'];

Comments

[FanatPHP]

А при чем здесь reverse proxy?

[hell]

при том, что в случае реверс прокси в HTTP_HOST добавится порт и все сравнение окажется некорректным