信任Content-Length HTTP标头是否安全?根据{{3}},它是Forbidden header name。如果我转到MDN docs,则说明以下内容。
禁止修改此类标头,因为用户代理保留对它们的完全控制权。
但如果您控制用户代理,是否还有办法欺骗这些值?
我只想弄清楚在that page页面上信任这些标题的安全程度,以及它们是否能够被欺骗。
答案 0 :(得分:1)
根据您描述的方案,是的,客户端可能会设置不正确的Content-Length。无法保证它是正确的。
如果Content-Length太大,服务器可能会等待并超时以获取剩余的数据。如果它太小,服务器可能会在整个机构进入之前切断TCP连接,或者在Connection: Keep-Alive的情况下,服务器可能会认为客户端启动了另一个HTTP请求,感到困惑并发送错误请求回复。