在两个 SO 问题中这里和那里普遍的观点是,使用 .local 作为内部网络不是一个好主意。
然而其中一条评论指出:
但是:不要使用您已经用于面向公众的生产服务的真实域名。www.example.com 和 *.internal.example.com 之间允许进行各种交互,而 www.example.com 和 *.example.net 之间不允许进行这些交互,最明显的是跨站点 cookie 设置。在同一个域上运行内部和外部服务会增加公共服务被入侵的风险,从而导致内部服务受到一定程度的入侵,反之,不安全的内部服务可能会引发对外部服务的内部滥用。– bobince
这可以解释为使用 .local 作为内部网络的好处吗?还有哪些其他选项可以减轻安全风险?
答案1
使用.local是一种安全风险。 按照RFC 6762 第 3 节,该顶级域名是为多播 DNS 保留的。这意味着,如果您将其用于自己的机器,则网络上的任何 Android、Linux、iOS 或 OSX 设备都可能(合法且正确地)响应查询。不知道您的内部 DNS 答案来自哪里是不是从安全角度而言,这是一个很好的举措。
不要使用 ,而要.local使用一个仅供内部使用的子域名,即一个已正确注册到您的完全正常的域名。