漏洞概述 该漏洞涉及HTTP重定向过程中,默认情况下会剥离跨源重定向的敏感头信息(如 、 和 )。这一行为可能导致敏感信息泄露或身份验证问题。 影响范围 受影响组件:HTTP客户端库或框架在处理重定向请求时。 具体场景:当客户端发起请求并收到重定向响应时,如果重定向的目标URL与原始请求的URL不在同一源(即不同的协议、域名或端口),则敏感头信息会被自动移除。 修复方案 1. 配置选项: - 通过设置 为 ,可以保留这些敏感头信息。 - 示例代码: 2. 代码修改: - 在代码中显式指定需要保留的头信息。 - 示例代码: POC代码 以下是利用该漏洞的POC代码示例: 总结 该漏洞主要影响HTTP客户端在处理跨源重定向时的行为,可能导致敏感信息泄露。通过配置 选项或显式指定头信息,可以有效修复此问题。