当我使用S.setHeader手动将标题添加到Lift中的响应时,是否必须手动检查换行符还是框架完成的换行符?这是防止http response splitting。
的必要条件答案 0 :(得分:0)
你应该测试一下。 Firefox Tamper Data允许您修改http请求并查看响应。设置对S.setHeader的调用,该调用接受get变量头。在Firefox中打开篡改数据,它将记录所有请求。访问这样的网址:http://localhost/?header=1%0atest:+CRFL。如果篡改数据显示具有test: CRLF
的新服务器元素的响应头,则您的平台易受HTTP响应拆分的影响。