Supponiamo di riconfigurare il mio server HTTP per aggiungere la seguente intestazione HTTP in ogni risposta:
X-Hello: Hello!
o qualche altro testo presumibilmente divertente.
Questo può avere un effetto negativo sulla sicurezza del server?
Supponiamo di riconfigurare il mio server HTTP per aggiungere la seguente intestazione HTTP in ogni risposta:
X-Hello: Hello!
o qualche altro testo presumibilmente divertente.
Questo può avere un effetto negativo sulla sicurezza del server?
Dipende dall'intestazione.
Supponendo che sia un'intestazione personalizzata, X- -prefixed, con un valore statico, quindi la risposta di @ Polynomial è corretta - non ha assolutamente alcun effetto.
Se costruisci il valore dell'intestazione in base a qualcos'altro - ad es. la password dell'utente - quindi quella ovviamente sarebbe A Bad Thing ™.
Se non divulghi informazioni potenzialmente preziose per un utente malintenzionato, stai bene. X-our-awesome-stack: Software vX.YZ, Anothersoft vX.YZ, we dont believe in input santiziation! potrebbe rivelare informazioni che potresti non voler pubblicizzare. Il tipo% di intestazioni X-Hello: What's up è assolutamente innocuo.
Leggi altre domande sui tag http web-application appsec