使用HTTP请求本身中的向量可以通过各种方式攻击Web应用程序。 HTTP响应拆分等攻击利用修改请求标头本身来利用易受攻击的应用程序。除了服务器端的输入验证和清理之外,如果可以使请求头不可变,我会想到这个问题。
是否可以使其不可变?
答案 0 :(得分:2)
请求标头从客户端发送到服务器。
浏览器本身构造要发送的HTTP请求。控制客户端的用户当然可以更改HTTP请求,包括标题到他们想要的任何内容。
因此,使它们不可变是不可能的。请记住,作为一般规则,客户端的任何内容都可以获取。
您可以阻止在传输过程中更改标头。也就是说,HTTP请求是从客户端到服务器的连线。为此,使用了一种称为TLS的技术(以前称为SSL,大部分时间它仍然是)。这会加密并验证连接,使其不可变。
您可以查看是否正在使用TLS / SSL,因为浏览器地址栏会在URL的最开头显示HTTPS。