인프런 커뮤니티 질문&답변
작성한 질문수
DisallowedHost 예외 관련 질문입니다.
작성
·
174
1
선생님 안녕하세요.
수업 중에 DisallowedHost 예외에 대해서 설명해주시면서, ngrok를 사용할 때는 ngrok에서 제시하는 url 주소를 추가해줘야 하지만 실제로 서비스를 운영할 때에는 별로 추가할 것이 없다고 하셨는데요. 실제로 서비스를 운영할 때는 어떤 주소들이 추가되나요? 악성 사용자가 아닌 이상 누구든 접속을 허용해줘야하니 차단하게끔 설정한 일부를 제외한 나머지에게는 열어두는 것인가요? 네트워크 쪽 공부를 깊이 하지 않은 상태라 조금 잘 와닿지 않는 부분이 있는 것 같습니다.
답변 1
0
이진석
지식공유자
안녕하세요.
settings.ALLOWED_HOSTS에 지정하는 주소는 클라이언트 주소가 아니라, 서비스되는 서버의 도메인/아이피 주소가 됩니다. 유저에게 아이피로 서비스한다면 아이피도 등록할 수 있겠지만, 대개는 도메인을 통해서 서비스를 하니 도메인 만을 등록합니다. 서비스하는 도메인만 등록하시면 됩니다.
settings.ALLOWED_HOSTS에 서비스하는 도메인 설정을 통해, 허위로 http 헤더를 변조하는 해킹공격을 막을 수 있습니다. 아래 공식 문서를 참고해보세요.
- https://docs.djangoproject.com/ko/4.0/ref/settings/#allowed-hosts
- https://docs.djangoproject.com/ko/4.0/topics/security/#host-headers-virtual-hosting
접속하는 유저의 아이피에 대해서는 제한하지 않습니다. 악성유저로부터의 요청을 차단할려면, 장고 기본에서 제공되는 기능은 없고, 요청을 경유받는 서버의 세팅을 활용하시거나, 써드파티 라이브러리를 사용하시거나 직접 구현하셔야 합니다.
화이팅입니다. :-)
자세한 답변 감사합니다!