应对措施:
◆响应拆分攻击:使用服务器端验证机制,并禁止全部用户在任何与响应头有关的输入请求中使用回车换行符(即CRLF)。
◆XSS攻击:引入白名单、黑名单过滤机制(输入验证)以及Escape HTML(输出验证)。
◆CSRF攻击:使用AntiCsrf语言符号,这样攻击者就无法准确预测目标结构,自然也不能对其加以伪造了。
结论:
响应拆分式攻击只能在多个用户使用相同代理服务器连接不同网站时奏效。代理服务器的缓存一旦受到感染,用户就会在从代理服务器缓存中读取该页面时遭到攻击。不过请注意,并非所有代理服务器都在响应拆分方面存在漏洞,虽然这算是句题外话。
本文转自 geekwolf 51CTO博客,原文链接:http://blog.51cto.com/linuxgeek/998974
