【发布时间】:2022-02-09 09:04:19
【问题描述】:
- 不要向客户端发送原始响应
https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
这是指什么?我试图用谷歌搜索,但我能找到的只是全文或字符串中的“原始”。从这个意义上说,不是所有 HTTP(s) 响应都是“原始”的,因为它是基于文本的吗?
或者这是否意味着编辑响应以提供有关服务器的虚假值,而不是真实值?
【问题讨论】:
【发布时间】:2022-02-09 09:04:19
【问题描述】:
我相当肯定这意味着您不应该将您从第三方(例如 API)收到的响应直接发送给最终用户。
如果您这样做,它可能会向攻击者提供敏感信息,或可能进一步暴露您的应用的信息。
【讨论】:
-
谢谢,我认为你是对的。在接受之前,我会先搁置一会儿,以防有人有其他可能的答案。
-
我同意。 Raw 仅表示“未处理”,在服务器端请求伪造的上下文中,可能正是这种情况。