HTTP拆分响应攻击

CRLF 指的是回车符（CR，ASCII 13，\r，%0d）和换行符（LF，ASCII 10，\n，%0a）的简称（\r\n）。

在HTTP报文中，HTTP Header每个字段以一个CRLF分隔；HTTP Header与HTTP Body以两个CRLF分隔，浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。一旦我们能够控制HTTP消息头中的字符，注入一些恶意的换行，这样我们就能注入一些恶意的HTTP Header，如会话Cookie，甚至可以注入一些HTML代码。这就是CRLF注入漏洞的核心原理。

详细分析本人通过初识HTTP响应拆分攻击（CRLF Injection）这篇文章学习