HTTPヘッダインジェクションとは

HTTPヘッダインジェクションとはHTTPを利用した通信システムで、HTTPヘッダ作成機能の不備をつきながら、ヘッダ行の挿入をして不正動作することです。また、攻撃が可能になってしまう脆弱性のことも指します。HTTPヘッダインジェクションは、改行コードをエスケープしないで展開すると、発生することが多いです。例えば、ヘッダ行が改行によって終わると、その後は新たなヘッダ行になります。その時に、改行コードが挿入されると、本体の通信内容とは異なるヘッダが入ってしまうのです。

HTTPヘッダインジェクションを避けるためには、HTTPヘッダを直接文字列で入力するのではなく、ヘッダ出力ができるAPIを利用します。これを利用すれば、改行コードなどの特殊文字を見極め、入力エラーなどで拒否することも可能です。特にECサイトで販売をする場合は、HTTPヘッダインジェクションの対策をしていないと、「誤った写真や文章になる」「異なるサイトへリダイレクトされる」などの問題が起こります。