Moin!

Aber wie kann ich mich auf HTTP_HOST verlassen, was ist hier Gefährlich?
Möchte nur, um den absoluten URI zu basteln subdomain.example.com erhalten.

Wenn der blöde Angreifer am HTTP-Header "Host" herummanipuliert, wird so ein Request niemals deinen VHost erreichen - denn dazu muß in dem Header die korrekte, exakte Domain enthalten sein, für die der VHost zuständig sein soll.

Insofern würde ich mich bis zum Beweis des Gegenteils auf die Prüfungen verlassen, die der Webserver für diesen Header unternimmt.

- Sven Rautenberg