url存在攻擊行為怎么辦？

使用HTTP代理工具，如BurpSuite篡改HTTP報文頭部中HOST字段時，加紅框中變量即客戶端提交的HOST值，該值可被注入惡意代碼。

因為需要控制客戶端的輸入，故該漏洞較難利用。

使用HTTP代理工具，如BurpSuite篡改HTTP報文頭部中HOST字段時，加紅框中變量即客戶端提交的HOST值，該值可被注入惡意代碼。因為需要控制客戶端的輸入，故該漏洞較難利用。 修復建議： 不要使用類似JSP中request.getServerName( )方法引用客戶端輸入的hostname值。

拼接生成URL時引用靜態變量定義的服務器域名，或者使用相對路徑生成URL。 最后： 一切的用戶輸入（用戶可控變量）都是不可信的，故減少用戶可控參數、對用戶輸入進行校驗是處理這類安全漏洞的思路。