>我在扫描报告中收到以下安全警告,其中包含在 5.2.45 版中构建的 laravel 项目。
网址重写漏洞
以下是说明。
已确定此应用程序支持旧标头 X-Original-URL 和/或 X-Rewrite-URL。对这些标头的支持允许用户通过 X-Original-URL 或 X-Rewrite-URL HTTP 请求标头覆盖请求 URL 中的路径,并允许用户访问一个 URL,但让 Web 应用程序返回另一个 URL,该 URL 可以绕过对更高级别缓存和 Web 服务器的限制。许多Web框架,如Symfony
2.7.0到2.7.48,2.8.0到2.8.43,3.3.0到3.3.17,3.4.0到3.4.13,4.0.0到4.0.13和4.1.0到4.1.2,zend-diactoros到1.8.4,zend-http到2.8.1,zend-feed到2.10.3都受到此安全问题的影响。
有关如何解决此问题的任何建议将不胜感激。
也许在 composer.json 中设置新值后"作曲家更新"?
"laravel/framework": "5.3.*",
如下所述: https://laravel.com/docs/5.3/upgrade
得到了修复。将以下代码添加到根 htaccess 文件中。
<IfModule mod_headers.c>
RequestHeader unset X-Original-URL
RequestHeader unset X-Rewrite-URL
</IfModule>