滿足以下條件時，會發生 File Based Cross Zone Scripting：

1. 載入了會讓 Script 在應用程式內執行的檔案。


2. 載入的 Script 被視為具有與執行中應用程式 (file://) 相同的來源。

若這兩個條件均符合，則可能會導致一系列攻擊，特別是如果其他方根據資訊是否來自應用程式內部來判定是否可信賴。

範例 1：以下程式碼使用 UIWebView.loadRequest(_:) 方法載入本機檔案：

...
NSURL *url = [[NSBundle mainBundle] URLForResource: filename withExtension:extension]; 
[webView loadRequest:[[NSURLRequest alloc] initWithURL:url]];
...

在 Example 1 中，WebView 引擎會將所有透過 UIWebView.loadRequest(_:) (具有開頭為 file:// 的 URL) 載入的程式碼視為位於有權限的本機檔案來源。

在從檔案載入時，攻擊者透過以下幾種典型方式來利用 File-Based Cross-Zone Scripting 弱點：

- 本機檔案可能受攻擊者控制。例如，攻擊者可能會將檔案傳送給其受害者，然後受害者繼續在易受攻擊的應用程式 (例如：雲端儲存應用程式) 上儲存該檔案
- 本地檔案由其他攻擊者所控制，該攻擊者會將 Script 注入檔案。這取決於檔案權限、檔案位置或檔案可能的儲存位置及載入位置的競賽條件 (會有一個用於執行修改的時間窗口)。
- 檔案可能會召喚外部資源。當載入的檔案從外部資源擷取 Script 時，可能會發生此情況。
- 載入的檔案可能包含 Cross-site scripting 弱點。如果正在載入的檔案包含注入的程式碼，則此程式碼可能會在您的應用程式內容中執行。注入的程式碼不需要為 JavaScript 程式碼，因為注入的 HTML 亦可允許塗改或 Denial of Service 攻擊。

如果攻擊者控制的檔案是透過 file:// URL 從本機載入，則相同來源策略 (Same Origin Policy) 將允許此檔案中的 Script 存取相同來源的任何其他檔案，這會讓攻擊者存取包含敏感資訊的任何本機檔案。

滿足以下條件時，會發生 File Based Cross Zone Scripting：

1. 載入了會讓 Script 在應用程式內執行的檔案。


2. 載入的 Script 被視為具有與執行中應用程式 (file://) 相同的來源。

若這兩個條件均符合，則可能會導致一系列攻擊，特別是如果其他方根據資訊是否來自應用程式內部來判定是否可信賴。

範例 1：以下程式碼使用 UIWebView.loadRequest(_:) 方法載入本機檔案：

...
let url = Bundle.main.url(forResource: filename, withExtension: extension)
self.webView!.load(URLRequest(url:url!))
...

在 Example 1 中，WebView 引擎會將所有透過 UIWebView.loadRequest(_:) (具有開頭為 file:// 的 URL) 載入的程式碼視為位於有權限的本機檔案來源。

在從檔案載入時，攻擊者透過以下幾種典型方式來利用 File-Based Cross-Zone Scripting 弱點：

- 本機檔案可能受攻擊者控制。例如，攻擊者可能會將檔案傳送給其受害者，然後受害者繼續在易受攻擊的應用程式 (例如：雲端儲存應用程式) 上儲存該檔案
- 本地檔案由其他攻擊者所控制，該攻擊者會將 Script 注入檔案。這取決於檔案權限、檔案位置或檔案可能的儲存位置及載入位置的競賽條件 (會有一個用於執行修改的時間窗口)。
- 檔案可能會召喚外部資源。當載入的檔案從外部資源擷取 Script 時，可能會發生此情況。
- 載入的檔案可能包含 Cross-site scripting 弱點。如果正在載入的檔案包含注入的程式碼，則此程式碼可能會在您的應用程式內容中執行。注入的程式碼不需要為 JavaScript 程式碼，因為注入的 HTML 亦可允許塗改或 Denial of Service 攻擊。

如果攻擊者控制的檔案是透過 file:// URL 從本機載入，則相同來源策略 (Same Origin Policy) 將允許此檔案中的 Script 存取相同來源的任何其他檔案，這會讓攻擊者存取包含敏感資訊的任何本機檔案。

當遇到下列狀況時會發生檔案權限操作錯誤：

1.攻擊者可指定在檔案系統上修改權限的操作中所使用的路徑。

2.攻擊者可指定檔案系統上的作業所指派的權限。

範例 1：下列程式碼使用來自系統環境變數的輸入設定檔案權限。如果攻擊者能夠修改系統環境變數，就能使用程式取得程式所操縱檔案的存取權。如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

    permissions := strconv.Atoi(os.Getenv("filePermissions"));
    fMode := os.FileMode(permissions)
    os.chmod(filePath, fMode);
    ...

當遇到下列狀況時會發生檔案權限操作錯誤：

1.攻擊者能夠指定在檔案系統上修改權限的作業中所使用的路徑。

2.攻擊者能夠指定檔案系統上的作業所指派的權限。

範例 1：以下程式碼旨在當使用者透過 FTP 上傳網頁時，設定適當的檔案權限。程式使用來自 HTTP 要求的輸入，以將檔案標示為外部使用者可檢視的狀態。

	$rName = $_GET['publicReport'];
	chmod("/home/". authenticateUser . "/public_html/" . rName,"0755");
...

然而，如果攻擊者提供一個惡意的值給 publicReport，如「../../localuser/public_html/.htpasswd」，應用程式會指定攻擊者可讀取那個檔案。

範例 2：以下程式碼使用組態設定檔案的輸入設定預設權限遮罩。如果攻擊者能修改組態設定檔案，就能使用程式取得程式所操縱檔案的存取權。如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

...
$mask = $CONFIG_TXT['perms'];
chmod($filename,$mask);
...

當遇到下列狀況時會發生檔案權限操作錯誤：

1. 攻擊者能夠指定在檔案系統上修改權限的作業中所使用的路徑。

2. 攻擊者能夠指定檔案系統上的作業所指派的權限。

範例 1： 下列程式碼使用來自系統環境變數的輸入設定檔案權限。 如果攻擊者能夠修改系統環境變數，就能使用程式取得程式所操縱檔案的存取權。 如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

    permissions = os.getenv("filePermissions");
    os.chmod(filePath, permissions);
    ...

當遇到下列狀況時會發生檔案權限操作錯誤：

1. 攻擊者能夠指定在檔案系統上修改權限的作業中所使用的路徑。

2. 攻擊者能夠指定檔案系統上的作業所指派的權限。

範例 1：以下程式碼旨在當使用者透過 FTP 上傳網頁時，設定適當的檔案權限。程式使用來自 HTTP 要求的輸入，以將檔案標示為外部使用者可檢視的狀態。

...
  rName = req['publicReport']
  File.chmod("/home/#{authenticatedUser}/public_html/#{rName}", "0755")
...

然而，如果攻擊者提供一個惡意的值給 publicReport，如「../../localuser/public_html/.htpasswd」，應用程式會指定攻擊者可讀取那個檔案。

範例 2：以下程式碼使用組態設定檔案的輸入設定預設權限遮罩。如果攻擊者可以更改組態設定檔案，就可能使用程式取得程式所操縱檔案的存取權。如果程式也存在 Path Manipulation 弱點，則攻擊者可能會使用這個弱點存取系統上的任意檔案。

...
mask = config_params['perms']
File.chmod(filename, mask)
...

常見的試算表處理器 (例如 Apache OpenOffice Calc 和 Microsoft Office Excel) 支援功能強大的公式運算，這可能允許攻擊者控制試算表以便在基礎系統上執行任意指令或洩露試算表上的敏感資訊。

例如，攻擊者可能會注入下列裝載做為 CSV 欄位的一部分：=cmd|'/C calc.exe'!Z0。如果開啟試算表 (在此範例中為開啟 Windows 小算盤) 的使用者信任文件來源，則會接受由試算表處理器顯示的所有安全性提示並讓裝載執行於其系統之上。

範例 1：以下範例顯示使用未經處理的使用者控制的資料產生 CSV 回應的 ASP.NET 控制項：

        public void Service()
        {
             string name = HttpContext.Request["name"];

             string data = GenerateCSVFor(name);
             HttpContext.Response.Clear();
             HttpContext.Response.Buffer = true;
             HttpContext.Response.AddHeader("content-disposition", "attachment;filename=file.csv");
             HttpContext.Response.Charset = "";
             HttpContext.Response.ContentType = "application/csv";
             HttpContext.Response.Output.Write(tainted);
             HttpContext.Response.Flush();
             HttpContext.Response.End();
        }

常見的試算表處理器 (例如 Apache OpenOffice Calc 和 Microsoft Office Excel) 支援功能強大的公式運算，這可能允許攻擊者控制試算表以便在基礎系統上執行任意指令或洩露試算表上的敏感資訊。

例如，攻擊者可能會注入下列裝載做為 CSV 欄位的一部分：=cmd|'/C calc.exe'!Z0。如果開啟試算表 (在此範例中為開啟 Windows 小算盤) 的使用者信任文件來源，則會接受由試算表處理器顯示的所有安全性提示並讓裝載執行於其系統之上。

範例 1：以下範例使用用未經處理的使用者控制的資料寫入 csv 檔案：

    func someHandler(w http.ResponseWriter, r *http.Request){
        r.parseForm()
        foo := r.FormValue("foo")
        ...
        w := csv.NewWriter(file)
        w.Write(foo)
    }

常見的試算表處理器 (例如 Apache OpenOffice Calc 和 Microsoft Office Excel) 支援功能強大的公式運算，這可能允許攻擊者控制試算表以便在基礎系統上執行任意指令或洩漏試算表上的敏感資訊。

例如，攻擊者可能會注入下列裝載做為 CSV 欄位的一部分：=cmd|'/C calc.exe'!Z0。如果開啟試算表 (在此範例中為開啟 Windows 小算盤) 的使用者信任文件來源，則會接受由試算表處理器顯示的所有安全性提示並讓裝載執行於其系統之上。

範例 1：以下範例顯示使用未經處理的使用者控制的資料產生 CSV 回應的 Spring 控制項：

    @RequestMapping(value = "/api/service.csv")
    fun service(@RequestParam("name") name: String): ResponseEntity<String> {
        val responseHeaders = HttpHeaders()
        responseHeaders.add("Content-Type", "application/csv; charset=utf-8")
        responseHeaders.add("Content-Disposition", "attachment;filename=file.csv")
        val data: String = generateCSVFor(name)
        return ResponseEntity(data, responseHeaders, HttpStatus.OK)
    }

Metadata 類別通常用於存放 Google 遠端程序呼叫 (gRPC) 所用之基礎通訊協定的標頭資料。當基礎通訊協定是 HTTP 時，控制 Metadata 物件中的資料會使系統容易遭受 HTTP Header Manipulation 攻擊。其他攻擊途徑也是可能的，並且主要都是根據基礎通訊協定。

範例 1：以下程式碼顯示不可信賴的資料被當成 gRPC Metadata 物件的輸入使用。

    ...
    String? evnVar = System.Environment.GetEnvironmentVariable("evnVar ");
    Metadata headers = new Metadata();
    headers.Add("field", evnVar);
    CallOptions callOptions = new CallOptions(headers);
    ...
    

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

...
author = request->get_form_field( 'author' ).
response->set_cookie( name = 'author' value = author ).
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不受信任的來源進入 Web 應用程式，通常是 HTTP 要求。


2.HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在標頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送之回應的剩餘標頭和正文，還允許它們全權建立其他回應。

現今許多新型的應用程式伺服器可防止將惡意字元插入 HTTP 標頭。例如，如果您嘗試使用禁用的字元設定標頭，最新版的 Apache Tomcat 會擲回 IllegalArgumentException。如果應用程式伺服器可防止使用換行字元來設定標頭，則您的應用程式面對 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選換行字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirect 攻擊無招架能力，所以透過使用者輸入設定 HTTP 標頭時，仍需特別注意。

範例 1：以下程式碼會設定一個名稱和值可能被攻擊者控制的 HTTP 標頭。

@HttpGet
global static void doGet() {
    ...
    Map<String, String> params = ApexPages.currentPage().getParameters();
    
    RestResponse res = RestContext.response;
    res.addHeader(params.get('name'), params.get('value'));
    ...
}

假設名稱/值對由 author 和 Jane Smith 組成，則包含此標頭的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
author:Jane Smith
...

不過，由於標頭的值是由未經驗證的使用者輸入而形成，攻擊者可能會提交惡意的名稱/值對 (例如 HTTP/1.1 200 OK\r\n...foo 和 bar)，然後 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...

HTTP/1.1 200 OK
...
foo:bar

很明顯，第二個回應完全受到攻擊者所控制，而且可以使用所需的任何標頭和本文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：Cross-user Defacement、Web and Browser Cache Poisoning、Cross-site Scripting 和 Page Hijacking。

Cross-User Defacement：攻擊者可以發出一個要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解讀成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己提交惡意要求；或是在遠端情況下，攻擊者和使用者共用相同的連線到伺服器 (例如共用的 Proxy 伺服器) 的 TCP 連線。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式的行為，但會將隱私資訊 (例如帳號和密碼) 重新導向回攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如 Proxy 伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣地，如果回應快取到單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意內容，直到清除該快取項目為止，但是只有本機瀏覽器執行個體的使用者會受到影響。

Cross-Site Scripting：在攻擊者可以控制應用程式傳送的回應之後，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器所產生且原本應供使用者使用的敏感內容，轉而供攻擊者使用。攻擊者藉由提交一個要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，致使中間節點 (例如共用的 Proxy 伺服器) 錯誤地將本應傳送給使用者的伺服器產生的回應傳送給攻擊者。因為攻擊者所提出的要求產生兩個回應，因此第一個被解譯為回應攻擊者的要求，而第二個則被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者將第二個要求傳送到伺服器，Proxy 伺服器會使用伺服器針對受害者產生的要求回應伺服器，如此一來，就會危及原本針對受害者的回應標頭或本文中的敏感資訊。

Cookie Manipulation：與 Cross-Site Request Forgery 之類的攻擊結合時，攻擊者可能變更、新增合法使用者的 Cookie 或甚至覆寫合法使用者的 Cookie。

Open Redirect：允許未經驗證的輸入控制重新導向中所使用的 URL 有助於網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器與框架都可避免惡意字元插入 HTTP 表頭中。舉例來說、Microsoft .NET 框架的最新版本可將 CR、LF 與 NULL 字元在傳送至 HttpResponse.AddHeader() 方法時，將其轉換成 %0d、%0a 與 %00。如果您使用了可避免使用新行字元設定表頭的最新版.NET 框架，您的應用程式可能就可以抵擋 HTTP Response Splitting 攻擊。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

protected System.Web.UI.WebControls.TextBox Author;
...
string author = Author.Text;
Cookie cookie = new Cookie("author", author);
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 Author.Text 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. 在未驗證包含資料的 HTTP 回應表頭是否存在惡意特徵的情況下，便將其傳送給某個網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 HTML 表單中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

...
EXEC CICS
  WEB READ
  FORMFIELD(NAME)
  VALUE(AUTHOR)
  ...
END-EXEC.

EXEC CICS
  WEB WRITE 
  HTTPHEADER(COOKIE)
  VALUE(AUTHOR)
  ...
END-EXEC.
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是網頁要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 Web 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

	<cfcookie name = "author"
	value = "#Form.author#"
	expires = "NOW">  

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1/1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-site scripting 是最常見的攻擊形式，其攻擊在回應中包含惡意的 JavaScript 或其他程式碼，且在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2.HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在標頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應的剩餘標頭和本文，還允許他們建立完全在他們控制下的其他回應。

現今許多新型的應用程式伺服器可防止將惡意字元插入 HTTP 標頭。舉例來說，如果您嘗試使用禁用的字元設定標頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用換行字元來設定標頭，則您的應用程式面對 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選換行字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirect 攻擊無招架能力，所以透過使用者輸入設定 HTTP 標頭時，仍需特別注意。

範例 1：以下程式碼片段會讀取 HTTP 要求中的 'content-type'，並將其設定在新 HTTP 要求的標頭中。

  final server = await HttpServer.bind('localhost', 18081);
  server.listen((request) async {
    final headers = request.headers;
    final contentType = headers.value('content-type');
    final client = HttpClient();
    final clientRequest = await client.getUrl(Uri.parse('https://example.com'));
    clientRequest.headers.add('Content-Type', contentType as Object);
  });

由於 'Content-Type' 標頭的值由未經驗證的使用者輸入所構成，因此惡意動作執行者可以操縱它來利用漏洞、執行 Code Injection 攻擊、暴露敏感資料、啟用惡意檔案執行或觸發 Denial of Service 情況，從而對應用程式的安全性和穩定性構成重大風險。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2.HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。


範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

...
author := request.FormValue("AUTHOR_PARAM")
cookie := http.Cookie{
  Name:       "author",
  Value:      author,
  Domain:     "www.example.com",
}
http.SetCookie(w, &cookie)
...

攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：Cross-user Defacement, Web and Browser Cache Poisoning, Cross-site Scripting 和 Page Hijacking。

Cross-User Defacement：攻擊者可以發出一個要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解讀成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己提交惡意要求；或是在遠端情況下，攻擊者和使用者共用相同的連線到伺服器 (例如共用的 Proxy 伺服器) 的 TCP 連線。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式的行為，但會將隱私資訊 (例如帳號和密碼) 重新導向回攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如 Proxy 伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣地，如果回應快取到單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意內容，直到清除該快取項目為止，但是只有本機瀏覽器實例的使用者會受到影響。

Cross-Site Scripting：在攻擊者可以控制應用程式傳送的回應之後，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器所產生且原本應供使用者使用的敏感內容，轉而供攻擊者使用。攻擊者藉由提交一個要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，致使中間節點 (例如共用的 Proxy 伺服器) 錯誤地將本應傳送給使用者的伺服器產生的回應傳送給攻擊者。因為攻擊者所提出的要求產生兩個回應，因此第一個被解譯為回應攻擊者的要求，而第二個則被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者將第二個要求傳送到伺服器，Proxy 伺服器會使用伺服器針對受害者產生的要求回應伺服器，如此一來，就會危及原本針對受害者的回應標頭或本文中的敏感資訊。

Cookie Manipulation：與 Cross-Site Request Forgery 之類的攻擊結合時，攻擊者可以變更、新增合法使用者的 Cookie 或甚至覆寫合法使用者的 Cookie。

Open Redirect：允許未經驗證的輸入控制重新導向中所使用的 URL，有助於網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

author = form.author.value;
...
document.cookie = "author=" + author + ";expires="+cookieExpiration;
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：網頁與瀏覽器 Cache Poisoning、Cross-site Scripting 和 Page Hijacking。


Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。


2.HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼片段假設 name 及 value 可能會被攻擊者控制。此程式碼會設定一個名稱和值可能被攻擊者控制的 HTTP 標頭。

...
NSURLSessionConfiguration * config = [[NSURLSessionConfiguration alloc] init];
NSMutableDictionary *dict = @{};
[dict setObject:value forKey:name];
[config setHTTPAdditionalHeaders:dict];
...

假設名稱/值組由 author 和 Jane Smith 組成，則包含此標頭的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
author:Jane Smith
...

不過，由於標頭的值是由未經驗證的使用者輸入而得來，攻擊者可能會提交惡意的名稱/值組 (例如 HTTP/1.1 200 OK\r\n...foo 和 bar)，然後 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...

HTTP/1.1 200 OK
...
foo:bar

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例而言，最新版的 PHP 在新行傳送 header() 至函數時，將會產生警告並停止建立表頭。如果您的 PHP 版本無法使用新行字元設定表頭，您的應用程式可能就可以抵擋 HTTP Response Splitting 攻擊。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼片段會讀取 HTTP 要求中的位置，並在 HTTP 回應的表頭位置欄位中設定該位置。

<?php
    $location = $_GET['some_location'];
    ...
    header("location: $location");
?>

假設在要求中提交了一個由標準英數字元所組成的字串，如「index.html」，那麼包含這個 Cookie 的 HTTP 回應可能會以下列形式表示：

HTTP/1.1 200 OK
...
location: index.html
...

不過，因為位置的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 some_location 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「index.html\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
location: index.html

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

...
-- Assume QUERY_STRING looks like AUTHOR_PARAM=Name
author := SUBSTR(OWA_UTIL.get_cgi_env('QUERY_STRING'), 14);
OWA_UTIL.mime_header('text/html', false);
OWA_COOKE.send('author', author);
OWA_UTIL.http_header_close;
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼片段會讀取 HTTP 要求中的位置，並在 HTTP 回應的位置欄位表頭中設定該位置。

    location = req.field('some_location')
    ...
    response.addHeader("location",location)

假設在要求中提交了一個由標準英數字元所組成的字串，如「index.html」，那麼包含這個 Cookie 的 HTTP 回應可能會以下列形式表示：

HTTP/1.1 200 OK
...
location: index.html
...

不過，因為位置的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 some_location 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「index.html\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
location: index.html

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將此名稱用於網站其他部分的 get 要求中。

author = req.params[AUTHOR_PARAM]
http = Net::HTTP.new(URI("http://www.mysite.com"))
http.post('/index.php', "author=#{author}")

假設在要求中提交了一個由標準英數字元所組成的字串，如「Jane Smith」，那麼 HTTP 回應可能會表現為以下形式：

POST /index.php HTTP/1.1
Host: www.mysite.com
author=Jane Smith
...

不過，因為 URL 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元時，回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nPOST /index.php HTTP/1.1\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

POST /index.php HTTP/1.1
Host: www.mysite.com
author=Wiley Hacker

POST /index.php HTTP/1.1
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。 此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。 為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在標頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。 這些字元不僅讓攻擊者控制應用程式接下來要傳送之回應的剩餘標頭和正文，還允許它們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 標頭。 舉例來說，如果您嘗試使用禁用的字元設定標頭，Play Framework 會拋出一個異常。 如果應用程式伺服器可防止使用換行字元來設定標頭，則您的應用程式面對 HTTP Response Splitting 的攻擊，具有一定的防禦能力。 但是，僅篩選換行字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirect 攻擊無招架能力，所以透過使用者輸入設定 HTTP 標頭時，仍需特別注意。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。


2.HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例 1：以下程式碼片段假設 name 及 value 可能會被攻擊者控制。此程式碼會設定一個名稱和值可能被攻擊者控制的 HTTP 標頭。

...
var headers = []
headers[name] = value
let config = NSURLSessionConfiguration.backgroundSessionConfigurationWithIdentifier("com.acme")
config.HTTPAdditionalHeaders = headers
...

假設名稱/值組由 author 和 Jane Smith 組成，則包含此標頭的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
author:Jane Smith
...

不過，由於標頭的值是由未經驗證的使用者輸入而得來，攻擊者可能會提交惡意的名稱/值組 (例如 HTTP/1.1 200 OK\r\n...foo 和 bar)，然後 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...

HTTP/1.1 200 OK
...
foo:bar

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器與框架都可避免惡意字元插入 HTTP 表頭中，但是支援典型 ASP 的伺服器通常沒有這項保護機制。

範例 1：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

...
author = Request.Form(AUTHOR_PARAM)
Response.Cookies("author") = author
Response.Cookies("author").Expires = cookieExpiration
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。