Re: Об одной малоизвестной уязвимости в веб сайтах
Валентин Бартенев
vbart at nginx.com
Tue Jun 17 11:14:24 UTC 2014
On Tuesday 17 June 2014 15:03:18 Maxim Dounin wrote:
[..]
> > >Среди прочего, например, HTTPbis явно требует возвращать 400,
> > >если запрос содержит несколько заголовков Host.
> >
> > Нет смысла отправлять несколько одинаковых заголовков
> > с одинаковым значением. А разных значений там быть не должно.
> >
> > Единственное что добавилось в RFC 7230 - это более явное требование,
> > чтобы такой заголовок был всего один. В RFC 2616 это было между строк.
>
> Угу, и именно так поступал nginx до упомянутого коммита. Только
> не работает.
>
> Из совсем свежих примеров - Opera при работе по SPDY присылает два
> заголовка Content-Length. Ну и кто они после этого?
[..]
Если бы два заголовка... они там посылают один заголовок, но со значением,
содержащим два одинаковых числа через запятую, и похоже, что само число при
этом не соответствует реальному размеру тела.
--
Валентин Бартенев
Подробная информация о списке рассылки nginx-ru