在以下情况下是否可以拆分 HTTP 响应:
String requestFilename = request.getParameter("name");
response.addHeader("content-disposition", "attachment; filename=" + requestFilename);
我直接将未经处理的请求参数附加到响应标头。
我的问题是,通过使用 CRLF 字符,我们可以在响应中插入我们自己的标题。
到目前为止,我已经尝试过\r\n
,%0D%0A
但它们不起作用。
response.addHeader()
对此类攻击免疫吗?
有人可以向我解释如何执行这种攻击吗?