0
Web应用程序可以通过HTTP请求本身中的向量来攻击。 HTTP响应分裂等攻击利用修改请求头本身来利用易受攻击的应用程序。除了服务器端的输入验证和消毒之外,我想到的问题是如果可以使请求标头不可变。有没有办法让HTTP请求头不可变?
是否有可能使它不可变?
A
回答
1
请求标头从客户端发送到服务器。
浏览器本身构造一个HTTP请求发送。拥有客户端控制权的用户当然可以改变HTTP请求,包括头部到他们想要的任何东西。
因此,使它们不可变是不可能的。请记住,作为一般规则,客户端上的任何内容都可用于争夺。
您可以防止在传输过程中更改标题。也就是说,HTTP请求在从客户端到服务器的连线上。为此,使用了称为TLS的技术(以前称为SSL,大部分时间仍然是)。这加密和认证连接,使其不可变。
您可以看到是否正在使用TLS/SSL,因为浏览器地址栏将在URL的最开始处显示HTTPS。
相关问题
- 1. nutch - 有没有办法让http响应头域解析?
- 2. 使用AngularJS $ http与asp.net webservice,有没有办法设置请求标头?
- 3. 有没有办法用linux读取GET http ajax请求?
- 4. 有没有办法通过HTTP请求来阅读Google Trends?
- 5. 有没有办法在Android上的PhoneGap中拦截HTTP请求?
- 6. 有没有办法转发Http处理程序中的请求
- 7. 有没有办法在WSO2 API Manager中强制请求HTTP DELETE?
- 8. 有没有办法通过HTTP POST请求来访问RabbitMQ?
- 9. 有没有办法知道$ http请求是否超时?
- 10. 有没有办法提取自定义请求头与cgicc
- 11. 有没有办法让客户端发送请求时的url
- 12. 有没有办法让Ajax请求总是按顺序进行?
- 13. 有没有办法让@Builder注释适用于不可变类?
- 14. 有没有办法让GET请求没有得到内容的正文?
- 15. 有没有办法让Facebook API的许多请求没有被阻止?
- 16. 有没有办法appendTo头?
- 17. 有没有办法改变C#(ASP.NET MVC3)中的请求的TimeZone?
- 18. PHP:有没有办法改变请求地址?
- 19. 有没有办法做一个http头请求,并获得没有服务器端语言的时间
- 20. 有没有办法在GITHUB中访问不安全的HTTP API请求?
- 21. Tomcat可以接受没有Host头的HTTP 1.1请求吗?
- 22. 有没有办法让HTTPS请求从本地主机要求测试
- 23. HTTP请求没有请求在Elm 0.18
- 24. 有没有办法让bind_param接受可变数量的参数
- 25. 有没有办法将所有ng-includes分组到一个http请求中?
- 26. 有没有办法发送带有Net :: HTTP的DELETE请求的JSON?
- 27. 有没有办法让curl解压缩一个响应而不在请求中发送Accept头域?
- 28. AngularJs http请求头不会改变
- 29. Ansible:有没有办法让变量没有默认值?
- 30. 有没有办法让merge.xts保持名称不变?
不清楚你在问什么,但如果你通过https发送你的请求,你有一定的信心,你有什么客户端发送。但是再次 - 完全不清楚那些买你的东西。 –