问题标签 [header-injection]

我已阅读此处描述的有关标头注入的部分：http: //guides.rubyonrails.org/security.html。但是我似乎无法在脑海中逐步完成这个例子。有人可以告诉我如何利用引用标头导致应用程序出现问题吗？

在邮件功能的 php 手册页上，有一条用户评论说“注意防止标头注入”。

在我的应用程序中，我使用了 mail 函数，我用作函数参数的唯一用户输入是电子邮件地址。

我使用 regex 对电子邮件地址进行了初步检查^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,3})$。

这也会防止标头注入吗？

谢谢，
jr

我在控制器中编写了以下代码：

它有标头注入吗？

请告诉我如何解决。

我想出了以下脚本来清理我的 php 邮件联系表格。想知道是否还有其他建议我应该放在这里。这只是代码的一个片段，因为我还预先匹配每个字段以只允许允许的字符，但就从一开始就清理注入而言 - 关于更改的任何建议？

我意识到我没有包含 /r、/n、%0a 和 %0d，但是当我这样做时，它会在我发布给自己并在那些字段上包含“错误”和“无效”评论时创建一个问题有包括原件在内的错误，因此可以更正它们，而且我想允许在表单的注释“文本区域”中输入和换行。

我有以下 nginx 配置：

这简化了配置（满足我的需要），如果我想为新域或子域提供服务，我只需创建文件夹/home/user/websites/sub.domain.tld/.

我的问题是，通过这种设置，恶意用户是否可以发送错误的Host标头并遍历目录结构？

我尝试了以下方法：

nginx400 Bad Request按预期返回。是否有任何其他方法可以规避这种情况，或者 nginx 是否可以防止这种攻击？

在阅读了很多教程之后，我只想确保安全。

我做了一个看起来像这样的联系公式

我通过 jQuery 验证名称和消息是否不为空且不仅充满空格

我使用以下脚本通过 jquery 检查电子邮件

现在，当我的变量被传递并且我在我的 mail.php 上时，是否足以在我的脚本顶部检查 $_SERVER['HTTP_REFERER'] 并查看这些变量是否来自我自己的脚本？或者你也可以修改 $_SERVER 变量吗？

还是我基本上必须再次检查每个传递的变量以确保安全？

例如：http://www.w3schools.com/php/php_secure_mail.asp 这个脚本 1oo% 安全吗？

谢谢你的协助 ：）

我需要一个表单来根据用户下拉选择发送给多个不同的收件人。这是我到目前为止所阅读的内容......我可以让它说成功，但我没有收到电子邮件。请帮忙！！

html:

PHP：

我需要它是标头注入安全的。

我编写了一个 PHP 函数，它记录$_SERVER数组中的所有内容，如果我的数据库中不存在某个$_SERVER变量，它将添加该列。

我的问题是：这听起来有多安全？在研究和理解标题信息之后，出现了一些问题。

1. 客户端是否能够修改发送到服务器的某些变量，他们的浏览器代理或操作系统？
2. 从自己的服务器托管站点的人是否能够将代码插入到他们自己的自定义$_SERVER数组中？

总的来说，我只是在问这听起来有多安全，但这些是我首先想到的问题。

如果您发现我提出这个问题的方式有任何问题，请在投反对票之前发表评论，我会立即更改。

我是 PHP 的新手，但设法创建了一个有效的联系表单。但后来我知道了电子邮件标头注入。我怎样才能以最好的方式防止这种情况发生？不希望我的表单被用来向人们发送垃圾邮件。

这是我的代码：

?>

我的任务是减轻 MVC 应用程序中的主机头注入。除其他外，我想通过创建一个 HTTP 模块来实现白名单检查。

到目前为止，我正在使用这样的东西：

web.config 条目：

HTTP 模块类：