HTTPリクエスト自体のベクトルを使用してWebアプリケーションを攻撃するさまざまな方法があります。 HTTPレスポンス分割のような攻撃は、脆弱なアプリケーションを悪用するために要求ヘッダー自体を変更することを利用します。サーバー側での入力の検証とサニタイズとは別に、リクエストヘッダーを変更できない場合は、私の頭に浮かんだ問題がありました。HTTPリクエストヘッダを変更不能にする方法はありますか?
不変にすることはできますか?
リクエストヘッダーがクライアントからサーバーに送信されます。
ブラウザ自体が送信するHTTPリクエストを作成します。クライアントを制御できるユーザーは、ヘッダーを含め、必要なものまでHTTPリクエストを変更できます。
したがって、これらを変更不能にすることは不可能です。一般的なルールとして、クライアント側のものはすべてグラブのためのものであることを覚えておいてください。
送信中にヘッダーが変更されるのを防ぐことができます。つまり、HTTP要求はクライアントからサーバーへのワイヤ上にあります。このために、TLSと呼ばれる技術が使用されています(SSLと呼ばれていましたが、ほとんどの場合、それがまだあります)。これは接続を暗号化して認証し、不変にします。
ブラウザのアドレスバーにURLの先頭にHTTPSが表示されるため、TLS/SSLが使用されているかどうかを確認できます。
尋ねていることは明確ではありませんが、httpsでリクエストを送信する場合は、クライアントから送信されたものがあるという確信度があります。しかし、再び - あなたが買うものを完全にはっきりさせない。 –