1.漏洞概述

HTTP 响应拆分发生在以下情况：

• 数据通过不受信任的来源（最常见的是 HTTP 请求）进入 Web 应用程序。
• 该数据包含在发送给 Web 用户的 HTTP 响应标头中，且未经过恶意字符验证。

从根本上来说，攻击很简单：攻击者将恶意数据传递给易受攻击的应用程序，并且该应用程序将数据包含在 HTTP 响应标头中

要成功利用该漏洞，应用程序必须允许将包含 CR（回车符，也由 %0d 或 \r 给出）和 LF（换行符，也由 %0a 或 \n 给出）字符输入到标头

---

2.漏洞案例

以下代码段从 HTTP 请求中读取博客条目作者的姓名，并将其设置在 HTTP 响应的 cookie 标头中：

String author = request.getParameter(AUTHOR_PARAM);
...
Cookie cookie = new Cookie("author", author);
cookie.setMaxAge(cookieExpiration);
response.addCookie(cookie);

一个正常的请求（例如“Jane Smith”），则包含此 cookie 的 HTTP 响应可能采用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

如果攻击者提交恶意字符串，例如“Wiley Hacker\r\nContent-Length:999\r\n\r\n...”，则 HTTP 响应将被拆分为冒名顶替者响应，后跟原始响应：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker
Content-Length: 999<html>malicious content...</html> (to 999th character in this example)
Original content starting with character 1000, which is now ignored by the web browser...

攻击者构造任意 HTTP 响应的能力允许产生各种攻击，包括：跨用户破坏、缓存中毒、跨站点脚本 (XSS)和页面劫持