防止修改Apache中的http响应头文件

Question

我在我的网站上运行了一个安全扫描，并在下面的URL中扫描显示安全线程的报告，说“HTTP头注入漏洞在/ catalog/product/view/id的REST风格参数中”

以下URL添加自定义首部XSaint：测试/种植-A-股权HTTP响应报头/类别/ 99（参见响应标头的最后一行）

我尝试不同的解决方案，但没有运气！任何人都可以建议我阻止修改HTTP响应头。

URL：/目录/产品/视图/ ID/1256/X％0D％0AXSaint：％20test /种植-A-股份/类别/ 99

响应头：

Cache-Control:max-age=2592000 
Content-Encoding:gzip 
Content-Length:253 
Content-Type:text/html; charset=iso-8859-1 
Date:Fri, 26 May 2017 11:27:12 GMT 
Expires:Sun, 25 Jun 2017 11:27:12 GMT 
Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x 
Server:Apache 
Vary:Accept-Encoding 
XSaint:test/planting-a-stake/category/99 

Answer 1

HTTP头注入漏洞与注入应用程序中可用于插入任意头文件的数据的人有关（请参阅https://www.owasp.org/index.php/HTTP_Response_Splitting）。

在这种特定的情况下，扫描仪假设漏洞可能来自URI放在Location头：

Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x 

这里需要的是确保投入到这个URI中的数据无法嵌入线返回字符，引述OWASP HTTP响应拆分页：

CR（回车，由％0d或\ r给出）

LF（换行，由％0a或\ n指定）