Node Express & HTTP Desync攻击，请求走私

Question

嘿Stackoverflow专家，

我想知道NodeJS/Express服务器是否容易受到“请求走私”的影响，如下所示：

https://portswigger.net/research/http-desync-attacks-request-smuggling-reborn

如果是这样，如何减轻它？

我不确定Node/Express是否可以访问块HTTP请求？只有完整的请求？

有人对此有什么见解吗？

Answer 1

当在同一个http请求中同时处理“传输编码”和“内容长度”时，NodeJS应用程序应该返回“400”(一个错误的请求)。这是最小化威胁的好方法，但没有什么是万无一失的。

规范说，当服务器同时输入两个报头时，它应该忽略“Content-Length”而继续“Transfer-Encoding”，但这种情况并不常见，也不是一件好事。

从我在野外看到的情况来看，实现可以有很大的不同，就像很多。没有最好的方法来处理这个问题。(它是非常常见的缺陷的原因之一，通过将它与系统中的其他缺陷链接起来，可以很容易地利用它)