16

php 5.5.1 および apache 2.4.6 にアップグレードした後、特定のヘッダーのチェック (具体的には のチェックHTTP_X_REQUESTED_WITH) が機能しなくなりました。

さらにテストを行った結果、アンダースコアを含むカスタム ヘッダーは無視されることがわかりました (これは、PHP の$_SERVER配列に表示されないことを意味します)。したがって、 という名前のヘッダーを追加するとmy-header、 として使用できるようになりますが$_SERVER['HTTP_MY_HEADER']、ヘッダーを追加しようとすると、my_headerでは使用できません$_SERVER

4

1 に答える 1

25

これは、Apache 2.4 で文書化された機能です。httpd.apache.org/docs/trunk/new_features_2_4.htmlを参照してください

環境変数へのヘッダーの変換は、ヘッダー インジェクションによるクロスサイト スクリプティング攻撃の可能性を緩和するために、以前よりも厳密になりました。無効な文字 (アンダースコアを含む) を含むヘッダーは、サイレントにドロップされるようになりました。

于 2013-08-13T09:13:04.987 に答える