2021-10-01から1ヶ月間の記事一覧

HTTPヘッダについての調査(4/?)

1回目、2回目、3回目、の続き。前提条件はこれまでと同じ。 ブラウザ以外で処理されるヘッダ 前回のHTTP/2についての記事の中でCGIのStatusヘッダに少し触れたので、ブラウザ以外(サーバやリバースプロキシ)で処理される応答ヘッダについて書く。その種の…

HTTP/2におけるHTTPヘッダインジェクション

前記事でHTTP/2の話が出たので、ちょっと脱線して「HTTP/2におけるHTTPヘッダインジェクション」に関連して行った実験について書く。既に何年も前に語られているように(abend氏, yasulib氏)、HTTP/2では「ヘッダの区切り文字」という概念は無くなっている…

HTTPヘッダについての調査(3/?)

1回目、2回目の続き。前提条件はこれまでと同じ。 代替サービス (Alt-Svc) ChromeとFirefoxは、代替サービス(Alternative Services, RFC7838)のAlt-Svcヘッダをサポートしている。下が正常なAlt-Svc応答ヘッダの例である。 Alt-Svc: h2="example.jp:443"; …