web security http 的相关内容

阿里云文档 2026-03-09

为CLB实例开启WAF防护

为保护暴露在公网的传统型负载均衡CLB实例免受Web攻击，可以为其开启Web应用防火墙（WAF 3.0）防护。该模式无需更改现有网络架构或DNS配置，仅需配置引流端口，系统自动将CLB实例指定引流端口上的公网流量引导至WAF，进行安全检测与过滤，从而实现高效且透明的防护。

阿里云文档 2026-01-23

通过Cname接入网站时设置HTTP/HTTPS端口-Web应用防火墙-阿里云

通过Cname接入方式将网站接入Web应用防火墙（Web Application Firewall，简称WAF）实例防护时，您需要设置该网站使用的HTTP/HTTPS端口。设置端口并完成网站接入后，通过该端口访问网站的流量会经过WAF，并受到WAF的检测和防护。

文章 2023-09-20 来自：开发者社区

Web Security 之 HTTP Host header attacks（下）

发送不明确的请求验证 Host 的代码和易受攻击的代码通常在应用程序的不同组件中，甚至位于不同的服务器上。通过识别和利用它们处理 Host 头的方式上的差异，你可以发出一个模棱两可的请求。以下是几个示例，说明如何创建模棱两可的请求。注入重复的 Host 头一种可能的方法是尝试添加重复的 Host 头。诚然，这通常只会导致你的请求被阻止。但是，由于浏览器不太可能发送这样的请求，你可能会偶尔发现开发....

文章 2023-09-20 来自：开发者社区

Web Security 之 HTTP Host header attacks（上）

HTTP Host header attacks在本节中，我们将讨论错误的配置和有缺陷的业务逻辑如何通过 HTTP Host 头使网站遭受各种攻击。我们将概述识别易受 HTTP Host 头攻击的网站的高级方法，并演示如何利用此方法。最后，我们将提供一些有关如何保护自己网站的一般建议。什么是 HTTP Host 头从 HTTP/1.1 开始，HTTP Host 头是一个必需的请求头，其指定了客户....

文章 2023-09-20 来自：开发者社区

Web Security 之 HTTP request smuggling（下）

使用差异响应确认 HTTP 请求走私漏洞当检测到可能的请求走私漏洞时，可以通过利用该漏洞触发应用程序响应内容的差异来获取该漏洞进一步的证据。这包括连续向应用程序发送两个请求：一个攻击请求，旨在干扰下一个请求的处理。一个正常请求。如果对正常请求的响应包含预期的干扰，则漏洞被确认。例如，假设正常请求如下：POST /search HTTP/1.1 Host: vulnerable-website.c....

文章 2023-09-20 来自：开发者社区

Web Security 之 HTTP request smuggling（上）

HTTP request smuggling在本节中，我们将解释什么是 HTTP 请求走私，并描述常见的请求走私漏洞是如何产生的。什么是 HTTP 请求走私HTTP 请求走私是一种干扰网站处理多个 HTTP 请求序列的技术。请求走私漏洞危害很大，它使攻击者可以绕过安全控制，未经授权访问敏感数据并直接危害其他应用程序用户。HTTP 请求走私到底发生了什么现在的应用架构中经常会使用诸如负载均衡、反向....