[英]How to fix HTTP response header injection/HTTP Response Splitting
从用户输入中过滤CRLF字符足以纠正这一发现。 从您的屏幕快照中,它可以表明此发现无效,因为它不会在响应标题中引起任何换行符。
如果它很容易受到攻击,您可能会看到类似以下的内容:
HTTP/1.1 302 Moved Temporarily
Date: Tue, 21 Mar ....
...
...
Location: https://MachineName1.Domain1/base/home?1bqfh
ob2ym=1
...
由于%0d字符, ob2ym = 1应该在响应标头中显示为换行符。
对于您的信息,对于与安全性有关的问题,您可以在security.stackexchange.com中提出 。 我敢打赌,您将在这里发表更多的反馈。
希望对您有所帮助。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.