webpack-dev-serverでdisableHostCheckを使うのはもうやめろ
Origami
Posted on December 23, 2019
TL;DR
DO NOT USE disableHostCheck
. because its potentially vulnerable.
USE host: "0.0.0.0
and useLocalIp
. its safe, for now.
ハローこんにちは。disableHostCheck: true
を使うのをやめろ。
disableHostCheck
を使うのにはだいたい理由があって、たとえばiPhoneからPC上のlocalhostで動いているサイトを見たいという理由でdisableHostCheck
をtrue
にしたりしてアクセスしたりします。
[マシン名].local:[ポート番号]
でアクセスするのはiPhoneを使った開発ではよく見る光景ですね。このときdisableHostCheck
はだいたいInvalid Host headerを回避するために使います。
しかし、disableHostCheck
を有効にするとDNS rebinding attack脆弱性を抱えてしまいますし、実際に webpack-dev-serverのdocumentationでも非推奨 の方法となっています。
代わりに今の所、useLocalIP: true
を使えば解決することができます。
config.devServer = {
host: "0.0.0.0",
useLocalIp: true,
}
host: "0.0.0.0"
はないと動かないので注意。
この方法を使えばdisableHostCheckを回避できます。自分のローカルIPアドレスを使ってやればアクセスできるので、ネットワークによってURLは変更されますが。
Posted on December 23, 2019
Join Our Newsletter. No Spam, Only the good stuff.
Sign up to receive the latest update from our blog.
Related
May 14, 2024