Об одной малоизвестной уязвимости в веб сайтах

[Gena Makhomed]

On 10.01.2014 15:07, Валентин Бартенев wrote:

>>>>>> http://habrahabr.ru/post/166855/

> Единственный правильный способ: пойти в IETF с предложением исправить
> соответствующие RFC, которые в том числе оговаривают, что следует делать
> при получении нескольких заголовков Host, ну а потом уже сюда.

http://tools.ietf.org/html/rfc7230#section-5.4

    When a proxy receives a request with an absolute-form of
    request-target, the proxy MUST ignore the received Host header field
    (if any) and instead replace it with the host information of the
    request-target.  A proxy that forwards such a request MUST generate a
    new Host field-value based on the received request-target rather than
    forward the received Host field-value.

Referer: http://www.opennet.ru/opennews/art.shtml?num=39956

-- 
Best regards,
  Gena