Инъекция заголовка Host

Инъекция Host возникает, когда серверный код использует заголовок Host или его прокси-варианты (X-Forwarded-Host) для построения абсолютных URL (ссылки сброса пароля, редиректы, src изображений, canonical, OAuth callback) без проверки по allow-list. Атакующий подменяет заголовок и направляет ссылки на враждебный домен, что приводит к отравлению сброса пароля, отравлению кеша, SSRF или маршрутизации ответа на хост атакующего. Часто встречается в схемах с обратным прокси и фреймворках с множеством источников Host. Меры защиты: формировать URL от настроенного доверенного хоста, валидировать Host/X-Forwarded-Host по allow-list, отбрасывать неизвестные forwarded-заголовки на границе, использовать HSTS.