2024.9.26
HTTP/2だとリクエストヘッダーが違う【備忘録】
HTTPリクエストヘッダーを使用してWAFによる制御を使用したいと考えていました。
やりたかったこととしては、HTTPリクエストヘッダーのHost項目を見て、IPアドレスやDNS名が入っていたら、ブロックするということでした。
Google Chromeのデベロッパーツールを使用していると、Host項目が見つかりません。どうやらHTTP/2を使用しているサイト(?)だと、項目名が異なるようです。
HTTP/2だとHostは「:authority」となっているらしいです。しかし、WAFでリクエストヘッダーを検査する際は、Hostを見るようにすれば大丈夫らしいです。
下記の公式ドキュメントにHTTP/2で使用されている項目名をWAFで検査するさいの対応表がありますので、そちらを参考にしてもらえればと思います。