php - PHP 是否不受 "HTTP Response Splitting"漏洞的影响?

标签 php security http-headers exploit 

<?php
setcookie('test', "test\r\n<script>alert(1)</script>");
echo 1;

但事实证明 PHP 会自动进行编码:

Set-Cookie: test=test%0D%0A%3Cscript%3Ealert%281%29%3C%2Fscript%3E

这是否意味着不可能重现 HTTP response splitting在 PHP 中?

最佳答案

来自linked维基百科文章:

[...] Although response splitting is not specific to PHP, the PHP interpreter contains protection against the attack since version 4.4.2 and 5.1.2. [1]

headersetcookie包含针对响应/ header 拆分的缓解措施。这是不可能的。

关于php - PHP 是否不受 "HTTP Response Splitting"漏洞的影响?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6287713/

上一篇:不转换html标签的PHP htmlentities()

下一篇:php - CakePHP - 为 Form->input : I want to have a line break, 设置默认值但是如何设置?

相关文章:

php - 为什么特别锁定 PHP 中的 phar 写入支持?

nginx - 如何避免 nginx 中重复的 add_header 指令?

C# HttpClient GET 返回 200 但为空数组

php - 如何使用控制缓存 header ?

php - 是否可以为一个参数指定多个类型提示?

.net - 如何将 .net 程序集的 list 设为私有(private)?

java - 如何在JVM/OSGi中限制程序资源+权限?

authentication - 具有Spring Security的自定义Http授权 header

php - 使用scrollTop显示滚动的像素

php - header ("Location:/");重定向适用于本地主机,但不适用于远程服务器

©2024 IT工具网  联系我们