7.5.1. Processing Invalid HTTP Field Names (Ungültige Feldnamen)

7.5.1. Processing Invalid HTTP Field Names as Derived Component Names (Ungültige HTTP-Feldnamen vs. abgeleitete Namen)

HTTP-Feldnamen dürfen kein @ enthalten; abgeleitete Komponentennamen beginnen mit @ — die Namensräume sollten disjunkt sein. Weniger strenge Implementierungen könnten Header mit führendem @ durchreichen und so abgeleiteten Inhalt überschreiben oder Kollisions-/Substitutionsangriffe ermöglichen (Abschnitt 7.3.1), z. B. GET-Signatur auf manipulierte POST-Anfrage.

Beginnt der Komponentenname mit @, MUSS er als abgeleitete Komponente verarbeitet werden, niemals als HTTP-Feld. Nur ohne führendes @ stammt der Wert aus Feldern. Der Algorithmus in Abschnitt 2.5 definiert eine sichere Reihenfolge.

7.5.1. Processing Invalid HTTP Field Names as Derived Component Names (Ungültige HTTP-Feldnamen vs. abgeleitete Namen)​

7.5.1. Processing Invalid HTTP Field Names as Derived Component Names (Ungültige HTTP-Feldnamen vs. abgeleitete Namen)