Есть ли в CakePHP v1.3.8 внедрение заголовка $this->redirect?

Question

Есть ли в CakePHP v1.3.8 внедрение заголовка $this->redirect?

Я написал следующий код в контроллере:

$this->redirect('https://example.com' . $this->here);

У него есть инъекция заголовка?

ex) http://example.com/%0dSet-Cookie:XXXX=YYYYY

Подскажите пожалуйста как исправить.

1

php security cakephp header-injection

Источник

user76509 10 ноя '11 в 04:49

1 ответ

Другие вопросы по тегам php security cakephp header-injection

user1820 10 ноя '11 в 10:04 2011-11-10 10:04 · Answer 1 · 2011-11-10 10:04

Ничто в CakePHP не является напрямую уязвимым, но и не защищает от него. Для выполнения фактического перенаправления Controller->redirect() звонки Controller->header()который в свою очередь вызывает header(), Таким образом, именно используемая версия PHP будет определять, уязвимы ли вы для внедрения HTTP-заголовка или нет. Эта уязвимость была устранена вheader() в релизах 4.4.2 и 5.1.2 PHP.

Тем не менее, вы никогда не должны помещать ненадежный или неизвестный контент в заголовок местоположения, поэтому используйте защитный код с проверкой белого списка, и все будет в порядке.