我有时会在php函数中使用用户数据header如下所示:
header('Location : test' . $user_data);
我曾经删除'n和'r以防止标题注入,但是还有其他新行字符吗?我在示例中写了Location,但它可以是其他东西,我知道我必须验证和清理 URL,我的问题是关于标题中的新行。
引用
文档:
(从 4.4.2 和 5.1.2 开始)此功能现在可以防止多个 立即发送标头以防止标头注入 攻击。
所以我想即使是你已经做的CRLF更换也是没有必要的。