note

情報セキュリティ HTTP ヘッダ・インジェクション

ウェブアプリケーションの中には、リクエストに対して出力するHTTP レスポンスヘッダのフィールド値 を、外部から渡されるパラメータの値等を利用して動的に生成するものがあります。たとえば、HTTP リダ イレクションの実装として、パラメータから取得 ...
note

情報セキュリティ HTTP ヘッダ・インジェクション djangoの場合

djangoは本当によくできたフレームワークなので、HTTP ヘッダ・インジェクションにも対応してます。 いやぁ、もう隙がないですね。 djangoの対策としては、レスポンスヘッダはdjangoが組み立てるので、ユーザーのリクエストを元にしたレスポンスヘッダは追加 ...