Help us learn about your current experience with the documentation.
Take the survey.
HTTP 头部中 CRLF 序列的不当中和
描述
通过插入回车/换行(CRLF)字符,恶意用户可能会向 HTTP 响应中注入任意数据。通过修改 HTTP 响应,攻击者可以对系统的其他用户进行跨站脚本攻击或缓存投毒攻击。
修复建议
在构建 HTTP 头部响应时,绝不能直接使用用户输入,除非对换行符进行了某种形式的验证。这包括用户提供的用于 HTTP 重定向的 URL。
详情
| ID |
Aggregated |
CWE |
Type |
Risk |
| 113.1 |
false |
113 |
Active |
high |
链接