You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Copy file name to clipboardExpand all lines: docs/config/server-options.md
+18-5Lines changed: 18 additions & 5 deletions
Display the source diff
Display the rich diff
Original file line number
Diff line number
Diff line change
@@ -51,10 +51,23 @@ Die Hostnamen, auf die Vite reagieren darf.
51
51
`localhost` und Domänen unter `.localhost` und alle IP-Adressen sind standardmäßig erlaubt.
52
52
Bei der Nutzung von HTTPS wird diese Prüfung übersprungen.
53
53
54
-
Wenn eine Zeichenkette mit `.` startet, wird der Hostname ohne den `.` zugelassen und alle Subdomänen unter dem Hostnamen. Zum Beispiel `.example.com` erteilt eine Erlaubnis für `example.com`, `foo.example.com` und `foo.bar.example.com`.
54
+
Wenn eine Zeichenkette mit `.` startet, wird der Hostname ohne den `.` zugelassen und alle Subdomänen unter dem Hostnamen. Zum Beispiel `.example.com` erteilt eine Erlaubnis für `example.com`, `foo.example.com` und `foo.bar.example.com`. Wenn der Wert auf `true` gesetzt wird, ist es dem Server gestattet, auf Anfragen beliebiger Hosts zu reagieren.
55
55
56
-
Wenn der Wert auf `true` gesetzt wird, ist es dem Server gestattet, auf Anfragen beliebiger Hosts zu reagieren.
57
-
Das ist jedoch nicht empfohlen, da es eine Schwachstelle für DNS-Rebinding-Angriffe darstellt.
56
+
::: details Welche Hosts können bedenkenlos hinzugefügt werden?
57
+
58
+
Hosts, bei denen Sie die Kontrolle darüber haben, zu welchen IP-Adressen sie aufgelöst werden, können Sie bedenkenlos zur Liste der zugelassenen Hosts hinzufügen.
59
+
60
+
Zum Beispiel, wenn Sie die Domäne `vite.dev` besiten, können Sie `vite.dev` und `.vite.dev` zur Liste hinzufügen. Falls Sie Domäne nicht besitzen und dem Besitzer der Domäne nicht vertrauen können, sollten Sie diese nicht hinzufügen.
61
+
62
+
Besonders Top-Level-Domains wie `.com` sollten niemals zur Liste hinzugefügt werden. Der Grund dafür ist, dass jedermann eine Domäne wie `example.com` kaufen könnte und kontrollieren könnte, zu welcher IP-Adresse sie aufgelöst wird.
63
+
64
+
:::
65
+
66
+
::: danger
67
+
68
+
Das Setzen des Wertes `server.allowedHosts` auf `true` erlaubt jeder Webseite Anfragen an den Entwicklungs-Server mit Hilfe von DNS-Rebinding-Angriffen zu senden und den Quellcode und Inhalt Ihrer Webseite herunterzuladen. Wir empfehlen immer eine explizite Liste von zulässigen Hosts zu verwenden. Siehe [GHSA-vg6x-rcgg-rjx6](https://github.com/vitejs/vite/security/advisories/GHSA-vg6x-rcgg-rjx6) für mehr Details.
69
+
70
+
:::
58
71
59
72
::: details Konfiguration via Umgebungsvariable
60
73
Sie können die Umgebungsvariable `__VITE_ADDITIONAL_SERVER_ALLOWED_HOSTS` setzen, um einen zusätzlichen berechtigten Host hinzuzufügen.
@@ -168,9 +181,9 @@ export default defineConfig({
168
181
169
182
Konfigurieren Sie CORS für den Entwicklungsserver. Übergeben Sie ein [Optionsobjekt](https://github.com/expressjs/cors#configuration-options), um das Verhalten fein abzustimmen, oder `false`, um es zu deaktivieren.
170
183
171
-
:::warning
184
+
::: danger
172
185
173
-
Wir empfehlen einen spezifischen Wert zu setzen anstelle der Verwendung von `true`, um zu Vermeiden, dass der Quellcode nicht vertrauenswürdigen Ursprüngen preisgegeben wird.
186
+
Das Setzen des Wertes `server.allowedHosts` auf `true` erlaubt jeder Webseite Anfragen an den Entwicklungs-Server zu senden und den Quellcode und Inhalt herunterzuladen. Wir empfehlen immer eine explizite Liste von zulässigen Ursprüngen zu verwenden.
0 commit comments