Security http头的安全性
在发送http头之前,我们要仔细检查它们的安全性。显然,我们不能允许出现'\r'或'\n',因为这将允许内容注入 我在这里只看到两个选项:Security http头的安全性,security,http,http-headers,escaping,base64,Security,Http,Http Headers,Escaping,Base64,在发送http头之前,我们要仔细检查它们的安全性。显然,我们不能允许出现'\r'或'\n',因为这将允许内容注入 我在这里只看到两个选项: 截断换行符处的值 从标题值中删除无效字符 另外,从阅读来看,似乎只有ascii可打印字符对http头值有效,我是否也应该对其他154个可能的无效字节遵循相同的策略 或者,在这个主题上是否有任何权威的现有技术?简单地删除新行\n将阻止。即使CRLF在RFC中用作分隔符,所有浏览器都可以识别新行 您仍然需要担心集cookie或内容类型中的用户内容。这些元素中的属
或者,在这个主题上是否有任何权威的现有技术?简单地删除新行
\n您仍然需要担心
集cookie内容类型分隔,攻击者可能会将内容类型更改为UTF-7并绕过IE用户(且仅限于IE用户)的XSS保护。攻击者还可能创建新的cookie,从而引入会话固定的可能性 头字段中允许使用非ASCII字符,尽管规范没有明确说明它们的含义;因此,发送者和接收者需要在语义上达成一致
是什么让你产生了相反的想法?这种攻击被称为“头拆分”或
OWASP链接指出,仅删除CRLF是不够的<代码>\n\nsetHeader位置如果您的cookie包含用户id或电子邮件地址之类的内容,我会确保测试的虚拟帐户包含一个虚拟帐户,该帐户的用户id或电子邮件地址包含非ASCII字母。标题定义为文本,文本为“除CTL外的任何八位字节,但包括LWS”。CTL是“(八位字节0-31)和DEL(127)”。这似乎允许八位字符>127,但我怀疑这是有意的。我看到一些允许通过“编码字”进行非iso-8859-1编码,但它接着说,“只有可打印和空白字符数据应使用此方案进行编码”,在这种情况下,我宁愿使用ascii。bukzor:我认为这是有意的,我知道它偶尔会被使用。还需要中间产物让所有8位通过,否则将来某个时候就不可能使用UTF-8作为头字段编码。我认为utf8已经过时了,因为明确禁止使用八位字节0-31和127。bukzor:不,这只是意味着不能使用CTL或DEL。这不会影响其他字符集。你能进一步扩展与UTF7相关的XSS吗,或者给出一个参考吗?@Rook,我相信如果你控制
内容类型+ADw脚本+AD4警报('XSS')中标题为“UTF-7编码”的部分+ADw-/SCRIPT+AD4-