La richiesta dannosa può presentarsi sotto forma di stringa dell'agente utente, referente o cookie. Per evitare di essere impiccato da attacchi zero day come Shellshock, ho creato una whitelist di caratteri per la stringa user-agent:
a-zA-Z0-9,.:;?/ ~!@()+_-
Quanto sopra è utile ed efficace? Inoltre, qualcuno ha un elenco di caratteri accettabili per referrer, cookie, URI di richiesta e stringa di query?