我在我的响应 header 中直接传递了一个用户定义的参数。我了解到这不是一个好主意,因为用户可以通过这种方式操纵 header ,并且可能导致跨站点脚本攻击和其他类型的多重攻击。
https://www.fortify.com/vulncat/en/vulncat/python/header_manipulation.html
我为防止这种情况所做的是通过将“\r”和“\n”字符替换为空字符串“”来验证“http 响应拆分”的用户输入。这足够了吗,或者我还必须检查其他字符。任何指示都会有很大帮助。
这是我的代码。
if(response != null)
{
newResponse = response.replaceAll("[\r\n]", "");
}
这是否足以防止此类攻击,或者我还应该验证其他字符。
最佳答案
关于java - java中的响应头验证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10293846/