防止修改Apache中的http響應頭文件

Question

我在我的網站上運行了一個安全掃描，並在下面的URL中掃描顯示安全線程的報告，說「HTTP頭注入漏洞在/ catalog/product/view/id的REST風格參數中」

以下URL添加自定義首部XSaint：測試/種植-A-股權HTTP響應報頭/類別/ 99（參見響應標頭的最後一行）

我嘗試不同的解決方案，但沒有運氣！任何人都可以建議我阻止修改HTTP響應頭。

URL：/目錄/產品/視圖/ ID/1256/X％0D％0AXSaint：％20test /種植-A-股份/類別/ 99

響應頭：

Cache-Control:max-age=2592000 
Content-Encoding:gzip 
Content-Length:253 
Content-Type:text/html; charset=iso-8859-1 
Date:Fri, 26 May 2017 11:27:12 GMT 
Expires:Sun, 25 Jun 2017 11:27:12 GMT 
Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x 
Server:Apache 
Vary:Accept-Encoding 
XSaint:test/planting-a-stake/category/99 

Answer 1

HTTP頭注入漏洞與注入應用程序中可用於插入任意頭文件的數據的人有關（請參閱https://www.owasp.org/index.php/HTTP_Response_Splitting）。

在這種特定的情況下，掃描儀假設漏洞可能來自URI放在Location頭：

Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x 

這裏需要的是確保投入到這個URI中的數據無法嵌入線返回字符，引述OWASP HTTP響應拆分頁：

CR（回車，由％0d或\ r給出）

LF（換行，由％0a或\ n指定）