Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 表頭中。

...
author = request->get_form_field( 'author' ).
response->set_cookie( name = 'author' value = author ).
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不受信任的來源進入 Web 應用程式，通常是 HTTP 要求。


2.HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在標頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送之回應的剩餘標頭和正文，還允許它們全權建立其他回應。

現今許多新型的應用程式伺服器可防止將惡意字元插入 HTTP 標頭。例如，如果您嘗試使用禁用的字元設定標頭，最新版的 Apache Tomcat 會擲回 IllegalArgumentException。如果應用程式伺服器可防止使用換行字元來設定標頭，則您的應用程式面對 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選換行字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirect 攻擊無招架能力，所以透過使用者輸入設定 HTTP 標頭時，仍需特別注意。

範例 1：以下程式碼會設定一個名稱和值可能被攻擊者控制的 HTTP 標頭。

@HttpGet
global static void doGet() {
    ...
    Map<String, String> params = ApexPages.currentPage().getParameters();
    
    RestResponse res = RestContext.response;
    res.addHeader(params.get('name'), params.get('value'));
    ...
}

假設名稱/值對由 author 和 Jane Smith 組成，則包含此標頭的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
author:Jane Smith
...

不過，由於標頭的值是由未經驗證的使用者輸入而形成，攻擊者可能會提交惡意的名稱/值對 (例如 HTTP/1.1 200 OK\r\n...foo 和 bar)，然後 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...

HTTP/1.1 200 OK
...
foo:bar

很明顯，第二個回應完全受到攻擊者所控制，而且可以使用所需的任何標頭和本文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：Cross-user Defacement、Web and Browser Cache Poisoning、Cross-site Scripting 和 Page Hijacking。

Cross-User Defacement：攻擊者可以發出一個要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解讀成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己提交惡意要求；或是在遠端情況下，攻擊者和使用者共用相同的連線到伺服器 (例如共用的 Proxy 伺服器) 的 TCP 連線。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式的行為，但會將隱私資訊 (例如帳號和密碼) 重新導向回攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如 Proxy 伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣地，如果回應快取到單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意內容，直到清除該快取項目為止，但是只有本機瀏覽器執行個體的使用者會受到影響。

Cross-Site Scripting：在攻擊者可以控制應用程式傳送的回應之後，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器所產生且原本應供使用者使用的敏感內容，轉而供攻擊者使用。攻擊者藉由提交一個要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，致使中間節點 (例如共用的 Proxy 伺服器) 錯誤地將本應傳送給使用者的伺服器產生的回應傳送給攻擊者。因為攻擊者所提出的要求產生兩個回應，因此第一個被解譯為回應攻擊者的要求，而第二個則被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者將第二個要求傳送到伺服器，Proxy 伺服器會使用伺服器針對受害者產生的要求回應伺服器，如此一來，就會危及原本針對受害者的回應標頭或本文中的敏感資訊。

Cookie Manipulation：與 Cross-Site Request Forgery 之類的攻擊結合時，攻擊者可能變更、新增合法使用者的 Cookie 或甚至覆寫合法使用者的 Cookie。

Open Redirect：允許未經驗證的輸入控制重新導向中所使用的 URL 有助於網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器與框架都可避免惡意字元插入 HTTP 表頭中。舉例來說、Microsoft .NET 框架的最新版本可將 CR、LF 與 NULL 字元在傳送至 HttpResponse.AddHeader() 方法時，將其轉換成 %0d、%0a 與 %00。如果您使用了可避免使用新行字元設定表頭的最新版.NET 框架，您的應用程式可能就可以抵擋 HTTP Response Splitting 攻擊。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並在 HTTP 回應的 Cookie 表頭中設定該名稱。

protected System.Web.UI.WebControls.TextBox Author;
...
string author = Author.Text;
Cookie cookie = new Cookie("author", author);
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 Author.Text 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. 在未驗證包含資料的 HTTP 回應表頭是否存在惡意特徵的情況下，便將其傳送給某個網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例： 以下程式碼區段會從 HTML 表單中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 表頭中。

...
EXEC CICS
  WEB READ
  FORMFIELD(NAME)
  VALUE(AUTHOR)
  ...
END-EXEC.

EXEC CICS
  WEB WRITE 
  HTTPHEADER(COOKIE)
  VALUE(AUTHOR)
  ...
END-EXEC.
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是網頁要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例： 以下的程式碼片段是從網路表單中讀取網誌項目的作者名字 author，並且在 HTTP 回應的 cookie 表頭中設定。

	<cfcookie name = "author"
	value = "#Form.author#"
	expires = "NOW">  

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1/1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-site scripting 是最常見的攻擊形式，其攻擊在回應中包含惡意的 JavaScript 或其他程式碼，且在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2.HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在標頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應的剩餘標頭和本文，還允許他們建立完全在他們控制下的其他回應。

現今許多新型的應用程式伺服器可防止將惡意字元插入 HTTP 標頭。舉例來說，如果您嘗試使用禁用的字元設定標頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用換行字元來設定標頭，則您的應用程式面對 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選換行字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirect 攻擊無招架能力，所以透過使用者輸入設定 HTTP 標頭時，仍需特別注意。

範例：以下程式碼片段會讀取 HTTP 要求中的 'content-type'，並將其設定在新 HTTP 要求的標頭中。

  final server = await HttpServer.bind('localhost', 18081);
  server.listen((request) async {
    final headers = request.headers;
    final contentType = headers.value('content-type');
    final client = HttpClient();
    final clientRequest = await client.getUrl(Uri.parse('https://example.com'));
    clientRequest.headers.add('Content-Type', contentType as Object);
  });

由於 'Content-Type' 標頭的值由未經驗證的使用者輸入所構成，因此惡意動作執行者可以操縱它來利用漏洞、執行 Code Injection 攻擊、暴露敏感資料、啟用惡意檔案執行或觸發 Denial of Service 情況，從而對應用程式的安全性和穩定性構成重大風險。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2.HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。


範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 標頭中。

...
author := request.FormValue("AUTHOR_PARAM")
cookie := http.Cookie{
  Name:       "author",
  Value:      author,
  Domain:     "www.example.com",
}
http.SetCookie(w, &cookie)
...

攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：Cross-user Defacement, Web and Browser Cache Poisoning, Cross-site Scripting 和 Page Hijacking。

Cross-User Defacement：攻擊者可以發出一個要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解讀成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己提交惡意要求；或是在遠端情況下，攻擊者和使用者共用相同的連線到伺服器 (例如共用的 Proxy 伺服器) 的 TCP 連線。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式的行為，但會將隱私資訊 (例如帳號和密碼) 重新導向回攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如 Proxy 伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣地，如果回應快取到單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意內容，直到清除該快取項目為止，但是只有本機瀏覽器實例的使用者會受到影響。

Cross-Site Scripting：在攻擊者可以控制應用程式傳送的回應之後，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器所產生且原本應供使用者使用的敏感內容，轉而供攻擊者使用。攻擊者藉由提交一個要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，致使中間節點 (例如共用的 Proxy 伺服器) 錯誤地將本應傳送給使用者的伺服器產生的回應傳送給攻擊者。因為攻擊者所提出的要求產生兩個回應，因此第一個被解譯為回應攻擊者的要求，而第二個則被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者將第二個要求傳送到伺服器，Proxy 伺服器會使用伺服器針對受害者產生的要求回應伺服器，如此一來，就會危及原本針對受害者的回應標頭或本文中的敏感資訊。

Cookie Manipulation：與 Cross-Site Request Forgery 之類的攻擊結合時，攻擊者可以變更、新增合法使用者的 Cookie 或甚至覆寫合法使用者的 Cookie。

Open Redirect：允許未經驗證的輸入控制重新導向中所使用的 URL，有助於網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將該名稱設定在 HTTP 回應的 Cookie 表頭中。

author = form.author.value;
...
document.cookie = "author=" + author + ";expires="+cookieExpiration;
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：網頁與瀏覽器 Cache Poisoning、Cross-site Scripting 和 Page Hijacking。


Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。


2.HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼片段假設 name 及 value 可能會被攻擊者控制。此程式碼會設定一個名稱和值可能被攻擊者控制的 HTTP 標頭。

...
NSURLSessionConfiguration * config = [[NSURLSessionConfiguration alloc] init];
NSMutableDictionary *dict = @{};
[dict setObject:value forKey:name];
[config setHTTPAdditionalHeaders:dict];
...

假設名稱/值組由 author 和 Jane Smith 組成，則包含此標頭的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
author:Jane Smith
...

不過，由於標頭的值是由未經驗證的使用者輸入而得來，攻擊者可能會提交惡意的名稱/值組 (例如 HTTP/1.1 200 OK\r\n...foo 和 bar)，然後 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...

HTTP/1.1 200 OK
...
foo:bar

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例而言，最新版的 PHP 在新行傳送 header() 至函數時，將會產生警告並停止建立表頭。如果您的 PHP 版本無法使用新行字元設定表頭，您的應用程式可能就可以抵擋 HTTP Response Splitting 攻擊。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼片段會讀取 HTTP 要求中的位置，並在 HTTP 回應的表頭位置欄位中設定該位置。

<?php
    $location = $_GET['some_location'];
    ...
    header("location: $location");
?>

假設在要求中提交了一個由標準英數字元所組成的字串，如「index.html」，那麼包含這個 Cookie 的 HTTP 回應可能會以下列形式表示：

HTTP/1.1 200 OK
...
location: index.html
...

不過，因為位置的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 some_location 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「index.html\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
location: index.html

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並在 HTTP 回應的 Cookie 表頭中設定該名稱。

...
-- Assume QUERY_STRING looks like AUTHOR_PARAM=Name
author := SUBSTR(OWA_UTIL.get_cgi_env('QUERY_STRING'), 14);
OWA_UTIL.mime_header('text/html', false);
OWA_COOKE.send('author', author);
OWA_UTIL.http_header_close;
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼片段會讀取 HTTP 要求中的位置，並在 HTTP 回應的位置欄位表頭中設定該位置。

    location = req.field('some_location')
    ...
    response.addHeader("location",location)

假設在要求中提交了一個由標準英數字元所組成的字串，如「index.html」，那麼包含這個 Cookie 的 HTTP 回應可能會以下列形式表示：

HTTP/1.1 200 OK
...
location: index.html
...

不過，因為位置的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 some_location 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「index.html\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
location: index.html

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並且將此名稱用於網站其他部分的 GET 要求中。

author = req.params[AUTHOR_PARAM]
http = Net::HTTP.new(URI("http://www.mysite.com"))
http.post('/index.php', "author=#{author}")

假設在要求中提交了一個由標準英數字元所組成的字串，如「Jane Smith」，那麼 HTTP 回應可能會表現為以下形式：

POST /index.php HTTP/1.1
Host: www.mysite.com
author=Jane Smith
...

不過，因為 URL 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元時，回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nPOST /index.php HTTP/1.1\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

POST /index.php HTTP/1.1
Host: www.mysite.com
author=Wiley Hacker

POST /index.php HTTP/1.1
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

Cache Poisoning：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

Open Redirect： 允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚的攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應標頭包含的資料在未經驗證的情況下便傳送給 Web 使用者。

如同許多軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。 此弱點的基礎很簡單：攻擊者將惡意資料傳送至容易受到攻擊的應用程式，應用程式再將該資料包含於 HTTP 回應標頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。 為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在標頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。 這些字元不僅讓攻擊者控制應用程式接下來要傳送之回應的剩餘標頭和正文，還允許它們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 標頭。 舉例來說，如果您嘗試使用禁用的字元設定標頭，Play Framework 會拋出一個異常。 如果應用程式伺服器可防止使用換行字元來設定標頭，則您的應用程式面對 HTTP Response Splitting 的攻擊，具有一定的防禦能力。 但是，僅篩選換行字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirect 攻擊無招架能力，所以透過使用者輸入設定 HTTP 標頭時，仍需特別注意。

Header Manipulation 弱點會在以下情況中出現：

1.資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。


2.HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器可防止將惡意字元插入 HTTP 表頭。舉例來說，如果您嘗試使用禁用的字元設定表頭，最新版的 Apache Tomcat 會拋出 IllegalArgumentException。如果應用程式伺服器可防止使用新行的字元來設定表頭，則您的應用程式對於 HTTP Response Splitting 的攻擊，具有一定的防禦能力。但是，僅篩選新行的字元，應用程式可能仍對 Cookie Manipulation 或 Open Redirects 攻擊無招架能力，所以透過使用者輸入設定 HTTP 表頭時，仍需特別注意。

範例：以下程式碼片段假設 name 及 value 可能會被攻擊者控制。此程式碼會設定一個名稱和值可能被攻擊者控制的 HTTP 標頭。

...
var headers = []
headers[name] = value
let config = NSURLSessionConfiguration.backgroundSessionConfigurationWithIdentifier("com.acme")
config.HTTPAdditionalHeaders = headers
...

假設名稱/值組由 author 和 Jane Smith 組成，則包含此標頭的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
author:Jane Smith
...

不過，由於標頭的值是由未經驗證的使用者輸入而得來，攻擊者可能會提交惡意的名稱/值組 (例如 HTTP/1.1 200 OK\r\n...foo 和 bar)，然後 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...

HTTP/1.1 200 OK
...
foo:bar

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。

Header Manipulation 弱點會在以下情況中出現：

1. 資料透過不可信賴的來源進入 Web 應用程式，通常是 HTTP 要求。

2. HTTP 回應表頭包含的資料在未經驗證的情況下，便將其傳送給網頁使用者。

如同其他軟體的安全性弱點，Header Manipulation 是達到目的的一種手段，而不是一個目的。此弱點的基礎很簡單：攻擊者傳送惡意資料至有弱點的應用程式，應用程式再將該資料包含於 HTTP 回應表頭中。

最常見的一種 Header Manipulation 攻擊為 HTTP Response Splitting。為了成功進行 HTTP Response Splitting 攻擊，應用程式必須允許輸入在表頭中包含 CR (Carriage Return，亦由 %0d 或 \r 指定) 與 LF (Line Feed，亦由 %0a 或 \n 指定) 字元。這些字元不僅讓攻擊者控制應用程式接下來要傳送的回應表頭和回應主題，還允許他們全權建立其他回應。

現今許多先進的應用程式伺服器與框架都可避免惡意字元插入 HTTP 表頭中，但是支援典型 ASP 的伺服器通常沒有這項保護機制。

範例：以下程式碼區段會從 HTTP 要求中讀取網路部落格項目的作者名稱 (author)，並在 HTTP 回應的 Cookie 表頭中設定該名稱。

...
author = Request.Form(AUTHOR_PARAM)
Response.Cookies("author") = author
Response.Cookies("author").Expires = cookieExpiration
...

假設在要求中提交了一個由標準英數字元所組成的字串，如 "Jane Smith"，那麼包含這個 Cookie 的 HTTP 回應可能會採用以下形式：

HTTP/1.1 200 OK
...
Set-Cookie: author=Jane Smith
...

不過，因為 cookie 的值是由未經驗證的使用者輸入而得來，所以只有當傳送給 AUTHOR_PARAM 的值不包含任何 CR 和 LF 字元，那麼回應才會保留這種形式。若攻擊者提交惡意字串，例如「Wiley Hacker\r\nHTTP/1.1 200 OK\r\n...」，則 HTTP 回應將分割為以下形式的兩種回應：

HTTP/1.1 200 OK
...
Set-Cookie: author=Wiley Hacker

HTTP/1.1 200 OK
...

很明顯的，第二個回應完全被攻擊者所控制，並且能使用任何標頭和想要的正文內容來建構。攻擊者可以建構任何 HTTP 回應，並造成不同的攻擊結果，這些攻擊包括：跨用戶塗改、網頁和瀏覽器快取記憶體下毒、Cross-site scripting 和網頁劫持。

跨用戶塗改：攻擊者將能夠發出單一要求到易受攻擊的伺服器，讓伺服器建立兩個回應，其中第二個回應可能會被錯誤解譯成針對不同要求的回應，該要求可能是由另一個與伺服器共用相同 TCP 連線的使用者所發出的。這種攻擊可以下列方式達成：攻擊者誘導使用者自己傳遞惡意要求，或是在遠端情況下，攻擊者和使用者共用相同的 TCP 連線連接到伺服器 (例如共用的代理伺服器)。最理想的情況是，攻擊者可能利用此功能讓使用者確信他們的應用程式已受攻擊，造成使用者對應用程式的安全性失去信心。最差的狀況是，攻擊者可能會提供特殊處理過的內容。這些內容專門用來模仿應用程式執行方式，但會要求使用者重新導向要求私人資訊，例如帳戶號碼和密碼，接著會將這些資訊回傳給攻擊者。

快取破壞：如果將惡意建構的回應快取到多個使用者使用的網頁快取或甚至單一使用者的瀏覽器快取，那麼影響所及會更大。如果將回應快取到共用網頁快取中 (例如代理伺服器中常見的網頁快取)，那麼該快取的所有使用者將會繼續收到惡意內容，直到清除該快取項目為止。同樣的，如果回應貯存在單一使用者的瀏覽器中，那麼該使用者會繼續收到惡意的內容，直到清除快取項目為止，雖然只會影響本機瀏覽器實例的使用者。

Cross-Site Scripting：一旦攻擊者可以控制應用程式傳送的回應，他們就可以提供各種惡意內容給使用者。Cross-Site Scripting 是最常見的攻擊形式，此類攻擊會在回應中包含惡意的 JavaScript 或其他程式碼，且會在使用者的瀏覽器中執行。以 XSS 為基礎的攻擊手段花樣百出且幾乎無窮無盡，但是它們通常會傳輸 Cookie 或其他階段作業資訊之類的私人資料給攻擊者、將受害者重新導向到攻擊者控制的網頁內容，或者利用易受攻擊的網站，在使用者的機器上執行其他惡意操作。對於易受攻擊應用程式的使用者而言，最常見且最危險的攻擊方法就是使用 JavaScript 將階段作業與驗證資訊傳回給之後可以完全掌控受害者帳戶的攻擊者。

網頁劫持：除了利用易受攻擊的應用程式傳送惡意內容給使用者外，還可以利用具有相同本質的弱點，重新導向伺服器產生原本供使用者使用的敏感內容，轉而供攻擊者使用。藉由提交要求產生兩個回應，伺服器預期的回應和攻擊者產生的回應，攻擊者可能造成一個中間節點，例如一個共用的代理伺服器，來誤導伺服器針對使用者產生的回應傳遞給攻擊者。因為攻擊者所提出的要求產生兩個回應，第一個被解譯回應攻擊者的要求，而第二個被忘卻。當使用者透過相同 TCP 連線發出合法要求時，攻擊者的要求已處於等待狀態，並會被解讀成針對受害者要求的回應。接著，攻擊者會將第二個要求傳送到伺服器，且代理伺服器會將伺服器原本針對受害者要求產生的回應當作第二個要求的回應，如此一來，就會危及原本針對受害者的回應表頭或主體中的敏感資訊。

Cookie Manipulation：與跨網站偽造要求之類的攻擊結合時，攻擊者可能變更、新增至合法使用者的 Cookie，甚至覆寫合法使用者的 Cookie。

開放式重新導向：允許未經驗證的輸入來控制重新導向中使用的 URL，如此會助長網路釣魚攻擊。