Re: Об одной малоизвестной уязвимости в веб сайтах

Валентин Бартенев vbart at nginx.com
Tue Jun 17 11:14:24 UTC 2014


On Tuesday 17 June 2014 15:03:18 Maxim Dounin wrote:
[..]
> > >Среди прочего, например, HTTPbis явно требует возвращать 400,
> > >если запрос содержит несколько заголовков Host.
> > 
> > Нет смысла отправлять несколько одинаковых заголовков
> > с одинаковым значением. А разных значений там быть не должно.
> > 
> > Единственное что добавилось в RFC 7230 - это более явное требование,
> > чтобы такой заголовок был всего один. В RFC 2616 это было между строк.
> 
> Угу, и именно так поступал nginx до упомянутого коммита.  Только 
> не работает.
> 
> Из совсем свежих примеров - Opera при работе по SPDY присылает два 
> заголовка Content-Length.  Ну и кто они после этого?
[..]

Если бы два заголовка... они там посылают один заголовок, но со значением, 
содержащим два одинаковых числа через запятую, и похоже, что само число при 
этом не соответствует реальному размеру тела.

--
Валентин Бартенев


Подробная информация о списке рассылки nginx-ru