3
當我使用S.setHeader手動向Lift中的響應添加標題時,是否需要手動檢查換行符還是由框架完成?這是防止http response splitting所必需的。電梯是否阻止HTTP響應拆分?
A
回答
0
你應該測試它。 Firefox的Tamper Data允許您修改http請求並查看響應。設置對接受get變量標題的S.setHeader的調用。在Firefox中打開篡改數據,它會記錄所有請求。訪問這樣的網址:http://localhost/?header=1%0atest:+CRFL。如果篡改數據顯示帶有新服務器元素test: CRLF的響應頭,那麼您的平臺很容易受到HTTP響應拆分的影響。
相關問題
- 1. 阻止HTTP響應分裂攻擊
- 2. 是否應該阻止HTTP POST?
- 3. 阻止HTTP請求/響應回調?
- 4. 拆分響應
- 5. 電梯HTTP路由
- 6. 電梯框架中的JSONP響應
- 7. C#阻止等待響應
- 8. mail()阻止JSON響應
- 9. Javascript angular:阻止http.get響應
- 10. 斯卡拉/電梯:是否需要特殊的http路由?
- 11. HTTP響應分裂
- 12. WatchService是否應該阻止註冊?
- 13. 正確的方法阻止HTTP調用和響應
- 14. 阻止IIS Url Rewrite模塊修改HTTP 303/307響應
- 15. 如何通過Flying Saucer創建PDF而不阻止HTTP響應?
- 16. 在部分響鈴之前阻止來電
- 17. HTTP響應是否始終在HTML中?
- 18. 阻止來電
- 19. 如何清除被阻止的URL的電子郵件響應
- 20. 決定我是否應該拆分表
- 21. 如何解決與ESAPI的HTTP響應拆分漏洞
- 22. C#中是否存在http響應分析器?
- 23. Jetty是否支持HTTP分塊響應/傳輸編碼?
- 24. iOS - 是否可以緩存分塊的HTTP響應?
- 25. Apache是否阻止I/O?
- 26. PriorityBlockingQueue:是否真的阻止
- 27. 阻止Windows形式是/否
- 28. HTTP響應。你怎麼知道響應是否通過代理?
- 29. 拆分JSON響應分離陣列
- 30. 我應該阻止HTTP 1.0請求嗎?
謝謝,我試圖通過詢問這裏來避免這一點的工作......我想我只是懶惰。 –
@Kim Stebel以及你如何被黑客入侵。說到安全性,代碼可以工作並且非常不安全。正確的安全答案几乎從不選擇。我能做的最好的事情就是給你找到你自己的工具,在這種情況下,它的測試非常簡單。 – rook
如果你實際上並沒有在你的應用程序的任何地方使用setHeader,但是你只是好奇而沒有被黑客入侵...... –