Invalid HTTP_HOST header: ‘testserver‘. You may need to add ‘testserver‘ to ALLOWED_HOSTS

一.遇到问题
跟着官方文档使用Django 测试工具Client时出现错误
在 python manage.py shell 环境下运行 response = client.get(‘/’)遇到报错
“Invalid HTTP_HOST header: ‘testserver’. You may need to add ‘testserver’ to ALLOWED_HOSTS”
Invalid HTTP_HOST header: ‘testserver‘. You may need to add ‘testserver‘ to ALLOWED_HOSTS_第1张图片
二.问题分析
ALLOWED_HOSTS是一个字符串列表,代表了这个Django网站可以服务的主机名或域名。这是为了阻止HTTP Host头攻击而采用的一种安全措施,这种攻击即使在很多看上去很安全的服务器配置下依然能够成功。

这个列表中的值,可以是全名(比如: ‘www.example.com’), 在这种情况下,它们会直接与所要求的Host头进行匹配(大小写不区分,不包括端口号)。如果一个值以点号开始,则可当做一个子域名通配符:‘.example.com’会匹配’example.com’, ‘www.example.com’, 以及example.com的其它任意子域名。如果有’*'这个值,那么它会匹配任何字符串,在这种情况下,你就需要提供你自己的Host头验证机制(可能是在一个中间件中;如果真是这样,那么这个中间件就必须放在MIDDLEWARE列表的第一位)

Django也支持任一条目的域名全称。有一些浏览器在Host头中会包含一个结尾点号,Django在执行host验证时会过滤掉它。

如果Host头(如果启用了USE_X_FORWARDED_HOST,则是X-Forwarded-Host)不匹配列表中任何一个值,那么 django.http.HttpRequest.get_host()方法会抛出SuspiciousOperation异常。

当DEBUG设为True,且ALLOWED_HOSTS为空时,会使用**[‘localhost’, ‘127.0.0.1’, ‘[::1]’]**来验证Host头。

这个验证只会通过get_host()方法来执行,如果你的代码是通过request.META直接访问Host头,那么你就绕开了这一层安全保护。

三、解决问题

修改创建项目时生成的setting.py文件

将ALLOWED_HOSTS = []改为ALLOWED_HOSTS = ['*']

再次运行即可成功访问。

注: 我是重新运行了 python manage.py runserver 再次运行shell才可以的

你可能感兴趣的:(Python,http,django,python)