Apacheのhttp応答ヘッダーの変更を防止する

Question

私のWebサイトでセキュリティスキャンを実行し、下のURLのセキュリティスレッドを示すレポートをスキャンし、「/ catalog/product/view/idへのRESTスタイルパラメータのHTTPヘッダー注入脆弱性」

XSaintカスタムヘッダーを追加し、次のURL：HTTPレスポンスヘッダ内の/カテゴリ/ 99（レスポンスヘッダの最後の行を参照してください）

私はさまざまなソリューションを試みたが、ノーテスト/ - - 出資比率が植栽運！どの人からでも、HTTP応答ヘッダーの変更を防ぐよう提案することができます。

URL：/カタログ/製品/ビュー/ ID/1256/X％の0D％0AXSaint：％の20test /植栽--株式/カテゴリ/ 99

レスポンスヘッダ：

Cache-Control:max-age=2592000 
Content-Encoding:gzip 
Content-Length:253 
Content-Type:text/html; charset=iso-8859-1 
Date:Fri, 26 May 2017 11:27:12 GMT 
Expires:Sun, 25 Jun 2017 11:27:12 GMT 
Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x 
Server:Apache 
Vary:Accept-Encoding 
XSaint:test/planting-a-stake/category/99 

Answer 1

HTTPヘッダーインジェクションの脆弱性は、アプリケーションに任意のヘッダーを挿入するために使用できるデータを注入する人物に関係します（https://www.owasp.org/index.php/HTTP_Response_Splitting参照）。

この特定のケースでは、スキャナは、脆弱性がURIから来るかもしれないと仮定は、Locationヘッダに入れ：

Location:https://www.xxxxxx.com/catalog/product/view/id/1256/x 

をここで必要性が、このURIに入れたデータは、改行を埋め込むことができないようにすることですOWASP HTTPレスポンス分割ページを引用する文字、：

CR（キャリッジリターン、また％の0Dまたは\ rで与えられる）（これも％の0Aまたは\ nで与えられるラインフィード）

LF