第 7 章 强化仪表板服务

建议您将仪表板部署到第二个级别域，如 https://example.com，而不是在共享子域（在任何级别）上部署仪表板，如 https://openstack.example.org 或 https://horizon.openstack.example.org。还建议您避免将仪表板部署到裸机内部域，如 https://horizon/。这些建议基于浏览器 相同-origin-policy 的限制。

这种方法可帮助您将 Cookie 和安全令牌与其他域隔离开来，其中您可能对内容有完全的控制。在子域上部署时，仪表板的安全等同于在同一第二个级别域中部署的最小安全应用程序。

您可以通过避免由 Cookie 支持的会话存储以及配置 HTTP Strict Transport Security (HSTS) （此指南中涉及）来进一步缓解这一风险。

Web 服务可能会受到与虚假 HTTP 主机标头相关的威胁。为帮助缓解这种情况，请考虑将 ALLOWED_HOSTS 设置配置为使用 OpenStack 控制面板提供的 FQDN。

配置之后，如果传入 HTTP 请求的 Host: 标头中的值与此列表中的任何值不匹配，则会引发错误，请求者将无法继续。

Horizon 在 python Django Web 框架基础上构建，需要设置 ALLOWED_HOSTS 来防御可能对 HTTP Host: 标头的恶意操作。将此值设置为 FQDN，控制面板应可从以下位置访问。对于 director，此设置由 HorizonAllowedHosts 管理。