我在使用5.2.45版构建的laravel项目的扫描报告中收到以下安全警告。
URL重写漏洞
下面是说明。
已确定此应用程序支持旧标头X-Original-URL和/或X-Rewrite-URL。对这些标头的支持使用户可以通过X-Original-URL或X-来覆盖请求URL中的路径重写URL HTTP请求标头,允许用户访问一个URL,但让Web应用程序返回另一个URL,从而可以绕过对更高级别的缓存和Web服务器的限制。许多Web框架,例如Symfony 2.7.0至2.7.48、2.8.0至2.8.43、3.3.0至3.3.17、3.4.0至3.4.13、4.0.0至4.0.13和4.1.0至此安全问题影响到4.1.2,最高1.8.4的zend-diactoros,最高2.8.1的zend-http,最高2.10.3的zend-feed。
任何有关解决此问题的建议将不胜感激。
答案 0 :(得分:0)
在composer.json中设置新值后,也许是“ composer update”?
"laravel/framework": "5.3.*",
答案 1 :(得分:0)
得到修复。将以下代码添加到htaccess根文件中。
<IfModule mod_headers.c>
RequestHeader unset X-Original-URL
RequestHeader unset X-Rewrite-URL
</IfModule>