|
Сделать заголовок безопасным можно, не добавляя атрибуты Content-length и Connection.
Сообщение об отказе использования атрибута при формировании заголовка консоль выдает, если атрибут потенциально опасен. Подобные атрибуты могут быть использованы при атаке типа HRS (HTTP Request Smuggling), т.е. при контрабанде HTTP-запросов. Поэтому современные браузеры не включают в заголовок такие атрибуты при ручном формировании, а добавляют их автоматически, используя собственные настройки.
Например, длину пересылаемого значения Content-length браузер определяет сам по размеру данных, передаваемых функции send().
И, как бы там ни было, это лишь сообщение консоли о том, что атрибут отклонен, запрос все равно отсылается.
|