fix: check host header to prevent DNS rebinding attacks and introduce server.allowedHosts (#596)

mstelbrink · mstelbrink · commit 5792038c3901 · 2025-10-31T17:03:49.000+01:00
diff --git a/docs/config/preview-options.md b/docs/config/preview-options.md
@@ -19,6 +19,15 @@ Weitere Details finden Sie unter [`server.host`](./server-options#server-host).
 
 :::
 
+## preview.allowedHosts
+
+- **Typ:** `string | true`
+- **Standardwert:** [`server.allowedHosts`](./server-options#server-allowedhosts)
+
+Beschreibt die Hostnamen, auf die Vite reagieren darf.
+
+Siehe [`server.allowedHosts`](./server-options#server-allowedhosts) für mehr Details.
+
 ## preview.port
 
 - **Typ:** `number`
diff --git a/docs/config/server-options.md b/docs/config/server-options.md
@@ -42,6 +42,20 @@ Weitere Informationen finden Sie im [WSL-Dokument](https://learn.microsoft.com/e
 
 :::
 
+## server.allowedHosts
+
+- **Typ:** `string[] | true`
+- **Standardwert:** `[]`
+
+Die Hostnamen, auf die Vite reagieren darf.
+`localhost` und Domänen unter `.localhost` und alle IP-Adressen sind standardmäßig erlaubt.
+Bei der Nutzung von HTTPS wird diese Prüfung übersprungen.
+
+Wenn eine Zeichenkette mit `.` startet, wird der Hostname ohne den `.` zugelassen und alle Subdomänen unter dem Hostnamen. Zum Beispiel `.example.com` erteilt eine Erlaubnis für `example.com`, `foo.example.com` und `foo.bar.example.com`.
+
+Wenn der Wert auf `true` gesetzt wird, ist es dem Server gestattet, auf Anfragen beliebiger Hosts zu reagieren.
+Das ist jedoch nicht empfohlen, da es eine Schwachstelle für DNS-Rebinding-Angriffe darstellt.
+
 ## server.port
 
 - **Typ:** `number`
