新的HTTP规范(RFC 7231)中,“欺骗性请求路由”是什么意思?
22
- Chris Martin
1
可能的情况是主机请求头中存在未知名称。这可能是由于客户端使用了错误的IP地址,可能是由于DNS问题或DNS重绑定攻击引起的。我不知道是否有更具体的4xx状态代码适用于该情况。 - Andre D
1个回答
9
举个例子,这可能与CDN相关。参见 RFC 3568。
对我来说,第4.1.2节很突出:
该技术涉及使用HTTP [4],例如Cookie,Language和User-Agent等,以选择代理的任务。在[20]中提供了一些使用此技术的示例。
引用的示例("欺骗性请求路由")的相关性在于当系统依赖包括自定义HTTP头部的信息进行决策时。当这样的头部缺失、陈旧、不正确或无法处理时,任何格式不正确或“错误”的来自公共互联网的东西都可以安全地被认为是恶意的(或“欺骗性的”)。
另一个例子:有人中间人攻击我的上行链路,并劫持我的会话cookie。试图使用该cookie访问站点,但突然之间,系统看到来自两个不同IP地址的具有相同令牌的请求。
- Chris Tonkinson
1
这可能与ISP的某种阻塞有关吗? - Felipe
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 3 什么是RFC中关于HTTP请求中的扩展方法(extension-method)?
- 4 如何正确阅读HTTP RFC?
- 155 HTTP/1.1 302 是什么意思?
- 3 HTTP规范中的"subrange"是什么意思?
- 51 HTTP代理如何利用HTTP协议?代理RFC是什么?
- 3 HTTP中的隐式LWS是什么意思?
- 5 HTTP规范中403错误的“authorization will not help”是什么意思?
- 41 X-Forwarded-Proto HTTP头的完整规范是什么?
- 55 HTTP头中的If-None-Match: *是什么意思?
- 14 Angular6的HTTP请求返回的isTrusted是什么意思?