当前位置: 文江博客话题详情

PHP 是否不受“HTTP 响应分割”的影响?漏洞?

发布于 2024-11-14 08:11:01 字数 346 浏览 3 评论 0原文 

<?php
setcookie('test', "test\r\n<script>alert(1)</script>");
echo 1;

但事实证明 PHP 会自动进行编码:

Set-Cookie: test=test%0D%0A%3Cscript%3Ealert%281%29%3C%2Fscript%3E

这是否意味着不可能重现 HTTP 响应拆分 PHP?

原文 
<?php
setcookie('test', "test\r\n<script>alert(1)</script>");
echo 1;

But it turns out PHP automatically does the encoding:

Set-Cookie: test=test%0D%0A%3Cscript%3Ealert%281%29%3C%2Fscript%3E

Does that mean it's impossible to reproduce HTTP response splitting in PHP?

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

软甜啾 2024-11-21 08:11:01

来自链接维基百科文章:

[...] 虽然响应分割不是 PHP 特有的,但 PHP 解释器从 4.4.2 和 5.1.2 版本开始包含针对攻击的保护措施。 [1]

标头setcookie 包含针对响应/标头拆分的缓解措施。这是不可能的。

From the linked Wikipedia article:

[...] Although response splitting is not specific to PHP, the PHP interpreter contains protection against the attack since version 4.4.2 and 5.1.2. [1]

header and setcookie contain mitigations against response/header splitting. It's not possible.

回复 原文
~没有更多了~

关于作者

又怨

暂无简介

0 文章
0 评论
23 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

Gabu-gabumon

文章 0 评论 0

qq_CgiN62

文章 0 评论 0

荔枝明

文章 0 评论 0

赏烟花じ飞满天

文章 0 评论 0

独守阴晴ぅ圆缺

文章 0 评论 0

¤→小豸慧

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文