OWASP 说你不应该 "send raw responses to clients" 是什么意思?
What does OWASP mean when they say you should not "send raw responses to clients"?
- 不向客户端发送原始响应
https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
这是指什么?我尝试 google,但我能找到的只是全文或字符串化的 'raw'。从这个意义上说,不是所有 HTTP(s) 响应 'raw',因为它是基于文本的吗?
或者这是否意味着编辑响应以提供有关服务器的虚假值,而不是真实值?
我相当确定这意味着您不应将从第三方(例如 API)收到的回复直接发送给最终用户。
如果您这样做,它可能会向攻击者提供敏感信息,或可能进一步暴露您的应用程序的信息。
- 不向客户端发送原始响应
https://owasp.org/Top10/A10_2021-Server-Side_Request_Forgery_%28SSRF%29/
这是指什么?我尝试 google,但我能找到的只是全文或字符串化的 'raw'。从这个意义上说,不是所有 HTTP(s) 响应 'raw',因为它是基于文本的吗?
或者这是否意味着编辑响应以提供有关服务器的虚假值,而不是真实值?
我相当确定这意味着您不应将从第三方(例如 API)收到的回复直接发送给最终用户。
如果您这样做,它可能会向攻击者提供敏感信息,或可能进一步暴露您的应用程序的信息。