Also known as CWE-113
A vulnerability that inserts invalid input, including line break codes, into an HTTP header, resulting in a false response or website tampering, and an attack that exploits this vulnerability
La séparation de réponse HTTP est une forme de vulnérabilité pour les applications web, qui résulte de l'échec de l'application ou de son environnement à purifier les valeurs d'entrée. Elle peut être utilisée pour réaliser une attaque de cross-site scripting. L'attaque consiste à ce que le serveur ajoute une séquence composée d'un retour chariot (Carriage Return CR, ASCII 0x0D) et d'une fin de ligne (Line Feed LF, ASCII 0x0A) suivie du contenu fourni par l'attaquant dans les en-têtes de la réponse HTTP. D'après le standard HTTP (RFC 2616), les en-têtes sont séparés par une séquence CRLF, et les en-têtes sont séparés du corps par deux de ces séquences. Ainsi si on ne supprime pas les CR ni les LF alors un attaquant peut déterminer les en-têtes de façon arbitraire, prendre le contrôle du corps, ou même séparer la réponse en deux réponses distinctes ou plus — d'où le nom de la technique.
Abstract from DBpedia / Wikipedia · CC BY-SA
Discovered by embedding cosine similarity (sentence-transformers MiniLM, 384-dim).