问题 在php 5.5.1 / apache 2.4.6中忽略带有下划线的标题名称


在升级到php 5.5.1和apache 2.4.6之后,检查某些标题现在已被破坏(具体来说,检查 HTTP_X_REQUESTED_WITH)。

通过进一步的测试,我注意到任何包含下划线的自定义标头都会被忽略(我的意思是它不会出现在PHP中 $_SERVER 数组)。所以如果我添加一个名为的标题 my-header,它变得可用 $_SERVER['HTTP_MY_HEADER'],但如果我尝试添加标题 my_header,它不可用 $_SERVER


6328
2017-08-12 11:03


起源
由于您使用的是Apache,因此在使用时会获得正确的标题 apache_request_headers - naththedeveloper
@FDL是的,我确实用apache_request_headers获得了正确的标题 - Pavle Predic
应该在发布之前完成研究...这是apache 2.4中的一个文档化特性:“标题到环境变量的转换比以前更严格,通过标题注入缓解一些可能的跨站点脚本攻击。包含无效字符的标题(现在,我们默默地放弃了下划线。“ - httpd.apache.org/docs/trunk/new_features_2_4.html - Pavle Predic
很好的发现,你应该把它作为答案添加并接受它,以便其他人可以在将来从中获益。 - naththedeveloper

答案:

这是apache 2.4中记录的功能。看到 httpd.apache.org/docs/trunk/new_features_2_4.html

标题到环境变量的翻译比标准变量更严格   之前通过缓解一些可能的跨站点脚本攻击   标题注入。包含无效字符的标头(包括   下划线)现在默默地放弃了。


16
2017-08-13 09:13


你如何解决这个“功能”? - Liam W
只需替换_ by - :“custom_api_key” - >“custom-api-key” - Flo-Schield-Bobby
如果(像我一样)你遇到了无法修改的旧接口,文档解释了一个解决方法: httpd.apache.org/docs/trunk/env.html#fixheader - MattMatt
帕夫勒我很疯狂地寻找我没有工作的原因,你救了我的生命,谢谢。 - Zilev av

热门问题

不使用eval / new函数的JavaScript模板库 当涉及内部类时,Java继承如何工作 .NET Windows服务的奇怪问题 在.ipa或.app下查找App ID 快速入门XSLT参考[关闭] 如何找出Android应用程序中未使用的资源 Ruby中并发的同步方法[重复] 将std :: chrono :: system_clock :: time_point转换为struct timeval并返回 Google Drive API V3(javascript)更新文件内容 Bootstrap 3.0 - 将元素推到底部 受密码保护的.NET ClickOnce部署? 如何用postgresql安装wordpress coq Set或Type如何成为命题 硒滚动元素进入(中心)视图 在Spring Transaction JUnit测试中自动装配Hibernate会话的正确方法 Git的Dockerfile策略 如何在FOS_PICKFOLDER中使用IFileDialog,同时仍在对话框中显示文件名 在Firefox扩展中复制Google Chrome浏览器操作弹出效果 CakePHP找到MAX 芹菜 - 完成任务的召唤功能 从使用fmemopen创建的流中读取宽字符 .NET是否为每个程序集创建一个字符串实习池? DefaultModelBinder不绑定嵌套模型 Navigator.MediaDevices.getUserMedia()使用了哪些相机通信标准? 选择命名空间名称时应该知道什么? cout Swagger Codegen CLI Java客户端 - 如何正确使用它 一个很好的哈希函数用于采访整数,字符串? Maven 3 ciManagement配置的目的是什么? 如何通过语言文化获取代码页?
licensed under cc by-sa 3.0 with attribution.
隐私政策 往来