divisão de resposta HTTP

Question

im tentando lidar com esta façanha e se perguntando qual é a melhor maneira de fazer isso é possível? Devo usar o apache é comum-validador e criar uma lista de símbolos permitidos conhecidos e usar isso?

Answer 1

A partir da wikipedia artigo :

A solução genérica é cordas URL-codificar antes da inclusão em cabeçalhos HTTP, como localização ou Set-Cookie.

Exemplos típicos de sanitização incluem fundição para inteiro, ou substituição de expressão regular agressivo. É interessante notar que, embora este não é um problema PHP específico, o intérprete PHP contém proteção contra este ataque desde a versão 4.4.2 e 5.1.2.

Editar

im amarrado em usar jsp Com ações java!

Há não parecem ser qualquer proteção baseados em JSP para este vetor de ataque - muitas descrições na web assumir asp ou php, mas este link descreve uma maneira bastante independente de plataforma para abordar o problema (jsp usado como um exemplo incidental no mesmo).

Basicamente o primeiro passo é identificar os personagens potencialmente perigosas (CRs, LFS, etc) e, em seguida, removê-los. Receio que esta sobre como solução de um robusto como você pode esperar!

Solução

entrada

Validar. Remover CRs e LFs (e todos os outros personagens perigosos) antes de incorporação de dados em quaisquer cabeçalhos de resposta HTTP, especialmente quando a criação de cookies e redirecionamento. É possível a utilização de produtos de terceiros para se defender contra injecção CR / LF, e para testar a existência de tais falhas de segurança antes da implantação aplicação.

Answer 2

Use PHP ? ;)

De acordo com a Wikipedia eo PHP CHANGELOG, teve a proteção de PHP contra ela em PHP4 desde 4.4.2 e PHP5 desde 5.1.2.

---

Apenas desnatado - mas, isso pode ajudar . Seus exemplos são escritos em JSP.

Answer 3

ok, bem lançando para um int não é muito útil quando a leitura cordas, também usando regex em cada ação que recebe entrada de navegador pode ser confuso, estou procurando uma solução mais robusta