信息量不够，不知道问题是啥

@JFinal 应该是undertow ，我们项目用了undertow和JFinal框架，怎么处理http host攻击漏洞呢？

@四零四 http host头攻击漏洞是个什么洞？属于应用的问题吧？

@SuperEric 如果是Tomcat可以用filter拦截，但对于undertow不熟悉，我目前只知道请求的时候会进入PathHandler，有没有办法注册与PathHandler同等级的handle，来拦截每个请求进行host检测？就是不改PathHandler，直接添加另外一个请求可以触发的handle，是怎么添加呢？我尝试了在启动类注册com.jfinal.handler.Handler子类，但这种host篡改的请求进入不了这层handler，我再次尝试添加io.undertow.server.HttpHandler实现类，但请求的时候没能像PathHandler那样被调用，不知道如果让请求也进入我新添加的这个实现类

@四零四 能否补充代码或代码包说明？Show me the code！

@四零四 tomcat 可以添加 filter， jfinal undertow 也可以，注意看文档：
https://jfinal.com/doc/1-4

注意看文档的第 12 小节《12、添加 Filter、WebSocket、Servlet、Listener》

@SuperEric 代码有点多，这里不能发截图，你有邮箱么？我可以直接发邮件给你吗？如果不可以，你回复我一下我在这里贴出来，就是会有点乱

@四零四 可以编辑反馈内容，富文本编辑器带有代码块功能，贴问题核心代码。

@SuperEric 我重新编辑了反馈内容，你看看是否明白？有点乱

@JFinal 非常感谢，之前我不知道如何添加filter，看了文章知道了，但依然无法解决这个问题

@四零四 http host头攻击是如何实施的，有什么破坏后果，jfinal undertow 是不是天然免疫了？

异常是什么，我想了解更多信息，好解决问题

@JFinal 正如我文中的第一个截图，用户输入的url是我网站服务的url，然后被别人改掉了请求头host，把host改为了知网的网址，然后页面显示的是知网的登录页，而不是我网站的登录页，基于这种情况，第三方可以伪造我的登录页来获取用户的登录信息。从模拟请求来看，跳转的页面是来自知网的，所以jfinal undertow 未能拦截这种漏洞。

@四零四 我看了看 http host 头攻击的相关资料，这个一般是通过配置 nginx 解决：
https://blog.csdn.net/u012903926/article/details/81702224

根本上来说，如果你的项目中没有使用 request.getHost() 这个值，是不会有害的，如果使用了，就要防一防

在 jfinal 之下，可以通过一个 handler 来处理一下，大致办法如下：
public class HostCheckHandler extends Handler {
static String host = PropKit.get("server.host");

public void handle(String target, HttpServletRequest req, HttpServletResponse res, boolean[] isHandled) {
if ( ! host.equals(req.getHost()) ) {
RenderKit.render404(...);
} else {
next.handle(req, res, isHandled);
}
}
}

注意上面的 host 属性从配置文件中来，你需要事先配置一个 server.host，在开发的时候，你可以配置成 localhost 就可以了

注意解决后来反馈一下

@JFinal 我们项目没有用到nginx ，然后，你说的handler，我文中有提到过，如果host被改掉，是不会进入到handler这层的，经过httphandler后就跳转了

@四零四 既然被改掉了，是不是 undertow 已经帮你处理完了这个事，不用再操心这事了吧？

@JFinal 并没有，我其实是想通过注册自定义的httphandler去处理，而不是改掉你们源码这种方式的，这个只能是没方案的方案。@SuperEric 或者你有更好的方案么？

@四零四 扩展 underotw 的 handler 解决一下试一试， jfinal undertow 提供了相应的扩展接口：
https://jfinal.com/share/2066