O exemplo é da estrutura do Python Django, mas é aplicável a todos os aplicativos da web. Como é queALLOWED_HOSTS configuração proteger seu site e usuários, ou seja, seALLOWED_HOSTS foi definido como"*" como um usuário mal-intencionado lidaria com "envenenamento de caches e e-mails de redefinição de senha com links para hosts mal-intencionados"?

ALLOWED_HOSTS Padrão: [] (lista vazia)

Uma lista de strings representando os nomes de host / domínio que este site do Django pode servir. Essa é uma medida de segurança para impedir que um invasor envenene caches e e-mails de redefinição de senha com links para hosts mal-intencionados enviando solicitações com um cabeçalho de host HTTP falso, o que é possível mesmo em muitas configurações de servidor da Web aparentemente seguras.

Os valores nesta lista podem ser nomes totalmente qualificados (por exemplo, "www.example.com"). Nesse caso, eles corresponderão exatamente ao cabeçalho do host da solicitação (sem distinção entre maiúsculas e minúsculas, sem incluir a porta). Um valor que começa com um ponto pode ser usado como curinga do subdomínio: '.example.com' corresponderá a exemplo.com, www.exemplo.com e qualquer outro subdomínio de exemplo.com. Um valor de '*' corresponderá a qualquer coisa; nesse caso, você é responsável por fornecer sua própria validação do cabeçalho Host (talvez em um middleware; nesse caso, esse middleware deve ser listado primeiro em MIDDLEWARE_CLASSES).