关于2.4版本及以后版本apache/httpd不支持下划线header的解决方法

最新推荐文章于 2022-07-07 09:30:27 发布
最新推荐文章于 2022-07-07 09:30:27 发布
阅读量477 收藏
点赞数
原文链接:http://www.cnblogs.com/it-green-hand/p/9462633.html
版权

官方文档给出的解释:http://httpd.apache.org/docs/current/env.html#fixheader

(以下摘自官方文档,英文不想看的可以直接看忽略。。直接从下划线后内容开始)

——————————————————————————————

Passing broken headers to CGI scripts

Starting with version 2.4, Apache is more strict about how HTTP headers are converted to environment variables in mod_cgi and other modules: Previously any invalid characters in header names were simply translated to underscores. This allowed for some potential cross-site-scripting attacks via header injection (see Unusual Web Bugs, slide 19/20).

If you have to support a client which sends broken headers and which can't be fixed, a simple workaround involving mod_setenvif and mod_headersallows you to still accept these headers

# The following works around a client sending a broken Accept_Encoding
# header.  SetEnvIfNoCase ^Accept.Encoding$ ^(.*)$ fix_accept_encoding=$1 RequestHeader set Accept-Encoding %{fix_accept_encoding}e env=fix_accept_encoding
————————————————————————————————————————————————————————————————————————————

1、原因:防止通过请求头注入进行跨站攻击,
  如果非要支持有两种解决方法
  a、降级httpd
  b、修改配置文件(本文内容)

2、如何解决修改?
直接进入正题,根据官网的提示,需要修改httpd的配置文件(以httpd2.4.6 centos7为例)
楼主直接修改的虚拟主机配置文件,个人认为,只修改单个虚拟主机文件不影响其他虚拟主机。。感兴趣的可以自己测试修改/etc/httpd/conf/httpd.conf文件。这样应该是支持全局了。
楼主自己的虚拟主机配置文件在/etc/httpd/conf.d文件夹下
在配置文件下面位置添加
  <VirtualHost *:80>
    (添加位置)

     </VirtualHost>

添加内容:
官方文档原文:
SetEnvIfNoCase ^Accept.Encoding$ ^(.*)$ fix_accept_encoding=$1 RequestHeader set Accept-Encoding %{fix_accept_encoding}e env=fix_accept_encoding
直接将以上内容添加到配置文件中是没有用的。。楼主试过了
需要修改五处内容(原文带颜色的部分)
1)红色部分Accept.Encoding改为你要传入到请求头中带有下划线的内容,并将原来的下划线替换为.(点)
例如:要将x-my_id传入到请求头中,那么将红色部分改为x-my.id
2)修改绿色内容Accept-Encoding,将你的参数中带有下划线的部分改为-(dansh)
例如,要将x-my_id传入,那么将绿色部分改为x-my-id
3)修改三处紫色内容,这三处为变量名称,名称随意,要保持一致
以x-my_id为例,最终修改结果为:(xxxxx为省略内容,不是实际需要添加的内容)
<VirtualHost *:yourport>
 xxxxx
 SetEnvIfNoCase ^x-my.id$ ^(.*)$ aa=$1 
 RequestHeader set x-my-id %{aa}e env=aa
 xxxxx

   </VirtualHost>

注意:

  如果要添加多个带有下划线请求头参数支持,可以添加多个SetEnvIfNoCase和RequestHeader,但是变量(紫色内容)需要修改成不同的值。

PS:
解释一下:
SetEnvIfNoCase ^x-my.id$ ^(.*)$ aa=$1 
意思是如果x-my.id中有.那么将其值赋给aa
RequestHeader set x-my-id %{aa}e env=aa
意思是将aa的值赋给请求头参数x-my-id

相当于将原来不支持的参数赋值给一个支持的参数,然后继续传递

以上内容,如有错误,欢迎指出。

转载于:https://www.cnblogs.com/it-green-hand/p/9462633.html

weixin_30916125
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
apache-httpd-2.4的win64编译后版本
04-02
Apache HTTPD 2.4版本是该软件的一个重要里程碑,引入了许多新特性和性能优化。在Windows 64位环境下运行Apache HTTPD 2.4,可以充分利用64位系统的资源,提供更高效的服务。 "Apache-httpd-2.4的win64编译后版本...
configure: error: Apache httpd version 2.4.6 includes a broken mod_dav; use a newer version of httpd
疯飙的蜗牛
08-07 1817
apache 2.4.6 subversion-1.10.2 ./configure --prefix=/home/svn/subversion --with-sqlite=/usr/local/sqlite --enable-maintainer-mode --enable-mod-activation --with-apr=/usr/bin/apr-1-config  --with-apr...
为什么http请求头header参数中含有下划线“_”不能正常传递?
一只不正经的程序猿的博客
06-28 7533
在使用zuul进行url路由转发过程中,我们想添加自定义的请求头如“auth_user_id”。转发的请求是通过url的方式先转发给nginx,然后再由nginx转发给应用。 奇怪的现象发生了,处理请求的应用居然找不到自定义的请求头“auth_user_id”。后来我们发现没有使用“_”的请求头都能正常传递,所以我们修改自定义请求头为“authuserid”(也就是去掉下划线),最终应用成功获取到了自定义的请求头。 那么,服务器为何要对字段名中使用了下划线的请求头视若无物呢? 在 RFC 2616 4
php 获取header下划线问题
lv0216liu的博客
07-07 703
php 获取header方法使用内置方法 .可以获取到所有header,包括自订义header
header头参数不能带下划线
weixin_33752045的博客
10-30 1471
header头参数不能带下划线:game_id是错误的
apache-httpd-2.4.58-win64-VS17.zip
最新发布
12-15
标题 "apache-httpd-2.4.58-win64-VS17.zip" 指的是 Apache HTTP 服务器的2.4.58版本,适用于64位Windows操作系统,并且是使用Visual Studio 2017编译的。这个压缩包包含了一系列用于在Windows平台上搭建和运行...
apache/httpd安全配置方法总结
08-08
搜集总结了关于搭建局域网apache服务器的网络安全配置,也总结了一些安全配置和维护的建议,希望可以给服务器搭建者一点帮助。
apache目前最新版本(apache2.4.43)
08-10
它的最新版本Apache 2.4.43,这个版本的发布旨在解决之前版本中的一些已知问题,提高性能,增强安全性,并引入了一些新的功能和改进。在这个版本中,用户可能会关注以下几个关键点: 1. 安全性更新:Apache 2.4....
Apache启动错误Permission denied: httpd: could not open error log file解决方法
01-11
一、系统环境 CentOS 6.3 X64 yum 安装的 apache 版本httpd-2.2.15-30.el6.centos.x86_64 二、问题描述 新增加虚拟主机站点,启动不了,查看日志,显示: 代码如下: ...四、解决方法 1、临时关闭(不
关于域名用下划线的一个问题
热门推荐
小追兵的专栏
12-08 1万+
其实这不算一个博客,因为这里只是记录一个问题。 什么问题呢: 网络请求失败,报错:java.lang.IllegalArgumentException: Invalid input to toASCII: t_art***.hun***.cn这里的t_art***.hun***.cn 是请求的域名。很明显,域名有下划线。这样的用法是不规范的,为什么不说是错误的呢,两个原因:1、因为他是可用的,并
apache_request_headers() 函数不能用怎么办
Jokenzhang
11-12 1038
apache_request_headers() 函数不能用怎么办 这个问题应该有很多人遇到了,自己的代码没有问题, 可是就是跑不起来,经过单元测试发现 apache_request_headers() 出了问题。 下面我们来看一下这个函数官方是怎么说的: https://www.php.net/manual/zh/function.apache-request-headers.php 这样的话我们无疑问的就知道了,需要在Apache环境下运行程序了。 但是没有Apache环境是如何运行的呢。
Apache中配置支持CORS(跨域资源共享)实例
xiongsha的专栏
06-29 1万+
[以下内容为转载] 当使用ajax跨域请求时,浏览器报错:XmlHttpRequest error: Origin null is not allowed by Access-Control-Allow-Origin.肯定是跨域的问题,如果用jsonp或者proxy的方式进行修改的话未免需要太大的工程量,所以采用CORS这种比较简单高效的技术。相比JOSP的方式,CORS更为高效。JSO
D:/dw/bin/apache/apache2.4.46/logs/httpd.pid overwritten -- Unclean shutdown of previous Apache run?
05-27
解决这个问题,您可以尝试手动删除httpd.pid文件,然后重新启动Apache服务器。如果问题仍然存在,您可以查看Apache的错误日志文件以获取更多信息,并进行进一步的故障排除。如果问题持续存在,您可以考虑联系相关...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值