header次のようにphp関数でユーザーデータを使用することがあります。
header('Location : test' . $user_data);
以前はヘッダー インジェクションを削除\nし\rて防止していましたが、他の改行文字はありますか? 私はLocation私の例で書きましたが、それは何か他のものかもしれません.URLを検証してサニタイズする必要があることはわかっています.私の質問はヘッダーの改行についてです.
7342 次
1 に答える
4
ドキュメントの引用:
(4.4.2および5.1.2以降)この関数は、ヘッダーインジェクション攻撃に対する保護として、一度に複数のヘッダーが送信されるのを防ぐようになりました。
ですから、あなたがすでに行ったCRLFの交換でさえ必要ではないと思います。
于 2012-07-06T13:49:39.667 に答える