Invalid HTTP_HOST header: ‘testserver‘. You may need to add ‘testserver‘ to ALLOWED_HOSTS

一.遇到问题
跟着官方文档使用Django 测试工具Client时出现错误
在 python manage.py shell 环境下运行 response = client.get(‘/’)遇到报错
“Invalid HTTP_HOST header: ‘testserver’. You may need to add ‘testserver’ to ALLOWED_HOSTS”

二.问题分析
ALLOWED_HOSTS是一个字符串列表，代表了这个Django网站可以服务的主机名或域名。这是为了阻止HTTP Host头攻击而采用的一种安全措施，这种攻击即使在很多看上去很安全的服务器配置下依然能够成功。

这个列表中的值，可以是全名（比如： ‘www.example.com’）， 在这种情况下，它们会直接与所要求的Host头进行匹配（大小写不区分，不包括端口号）。如果一个值以点号开始，则可当做一个子域名通配符：‘.example.com’会匹配’example.com’, ‘www.example.com’， 以及example.com的其它任意子域名。如果有’*'这个值，那么它会匹配任何字符串，在这种情况下，你就需要提供你自己的Host头验证机制（可能是在一个中间件中；如果真是这样，那么这个中间件就必须放在MIDDLEWARE列表的第一位）

Django也支持任一条目的域名全称。有一些浏览器在Host头中会包含一个结尾点号，Django在执行host验证时会过滤掉它。

如果Host头（如果启用了USE_X_FORWARDED_HOST，则是X-Forwarded-Host）不匹配列表中任何一个值，那么 django.http.HttpRequest.get_host()方法会抛出SuspiciousOperation异常。

当DEBUG设为True，且ALLOWED_HOSTS为空时，会使用**[‘localhost’, ‘127.0.0.1’, ‘[::1]’]**来验证Host头。

这个验证只会通过get_host()方法来执行，如果你的代码是通过request.META直接访问Host头，那么你就绕开了这一层安全保护。

三、解决问题

修改创建项目时生成的setting.py文件

将ALLOWED_HOSTS = []改为ALLOWED_HOSTS = ['*']

再次运行即可成功访问。

注: 我是重新运行了 python manage.py runserver 再次运行shell才可以的