在RFC 2616中,400响应代码用于语法错误。
由于语法格式错误,服务器无法理解该请求。客户不应该在没有修改的情况下重复请求。
RFC 7231扩大了400的适用范围。该规范提供了一些其他客户端错误示例,但我不确定它们的含义。
400(错误请求)状态代码表示服务器由于被认为是客户端错误(例如,格式错误的请求语法,无效的请求消息框架或欺骗性请求路由)而无法或不会处理请求
特别是,什么会构成欺骗性请求路由"?
答案 0 :(得分:3)
作为一个例子,这可能与CDN有关。请参阅RFC 3568。
4.1.2节对我来说很突出:
此技术涉及使用HTTP [4](如Cookie,语言和用户代理)的任务,以便选择代理。在[20]中提供了一些使用这种技术的例子。
当系统依赖包括用于决策的自定义HTTP标头的信息时,所引用的示例(“欺骗性请求路由”)的相关性就出现了。当这样的标题不存在时,陈旧,不正确或不可处理。一般而言,来自公共互联网的任何格式错误或“错误”都可以安全地被认为是恶意的(或“欺骗性的”)。
另一个例子:有人在我的上行链接中劫持了我的会话cookie。尝试使用该cookie访问该站点,但系统突然看到来自两个不同IP地址的具有相同令牌的请求。