<?php
setcookie('test', "test\r\n<script>alert(1)</script>");
echo 1;
但事实证明 PHP 会自动进行编码:
Set-Cookie: test=test%0D%0A%3Cscript%3Ealert%281%29%3C%2Fscript%3E
这是否意味着不可能在 PHP中重现HTTP 响应拆分?
<?php
setcookie('test', "test\r\n<script>alert(1)</script>");
echo 1;
但事实证明 PHP 会自动进行编码:
Set-Cookie: test=test%0D%0A%3Cscript%3Ealert%281%29%3C%2Fscript%3E
这是否意味着不可能在 PHP中重现HTTP 响应拆分?