以下の場合、HTTP 応答の分割は可能ですか。
String requestFilename = request.getParameter("name");
response.addHeader("content-disposition", "attachment; filename=" + requestFilename);
サニタイズされていないリクエスト パラメータをレスポンス ヘッダーに直接追加しています。
私の質問は、CRLF 文字を使用することで、独自のヘッダーを応答に挿入できるかということです。
これまでのところ私は試してみ\r\nまし%0D%0Aたが、うまくいきません。
response.addHeader()そのような攻撃に対する免疫はありますか?
誰かがこの攻撃を実行する方法を説明できますか?