TDVには、ホストヘッダー攻撃に対するセキュリティを確保できるように、ユーザーが調整できる構成オプションが用意されています。[Server(サーバー)]->[Configuration(構成)]->[Security(セキュリティ)]->[Allowed Hosts(許可されるホスト)]プロパティに移動します。このリストに記載されているサイトにより、許可されるホスト/ドメイン名が決まります。

受信HTTPリクエストヘッダーの偽のホスト値は、クロスサイトリクエストフォージェリー、キャッシュポイズニング攻撃、電子メールのポイズニングリンクに使用される可能性があります。この構成により、許可されるホスト名/ドメイン名が決まります。

このリストの値は完全修飾名(「www.example.com」など)にすることができます。その場合、リクエストのホストヘッダーと正確に照合されます(大文字と小文字は区別されず、ポートは含まれません)。ピリオドで始まる値は、次のようにサブドメインのワイルドカードとして使用できます。「.example.com」は、example.com、www.example.com、およびexample.comの他のサブドメインと一致します。

デフォルト値は空です。これはホストヘッダーが検証されないことを意味します。

この値を変更しても、次回のサーバーの再起動まで効果はありません。