Zum Hauptinhalt springen

7.5.6. Non-List Field Values (Nicht-Listen-Feldwerte)

7.5.6. Non-List Field Values (Nicht-Listen-Feldwerte)

Mehrfach vorkommende HTTP-Felder werden gemäß Abschnitt 2.5 zu einer Einzeilen-Zeichenkette kombiniert. Nicht jedes Feld bleibt dabei syntaktisch gültig für die Anwendung. Der Komponentenwert in der Signaturbasis dient nicht dem erneuten Auslesen für die Anwendung — Signaturbasis-Erzeugung und Anwendungsverarbeitung sollten getrennt werden, besonders bei problematischen Feldern. Ungültige kombinierte Werte: signierte Nachricht ablehnen.

Felder mit nicht in Anführungszeichen gesetzten Kommas in Werten können so kombiniert werden, dass zwei semantisch verschiedene Nachrichten dieselbe Signaturbasis-Zeile erzeugen:

Example-Header: value, with, lots
Example-Header: of, commas

gegenüber

Example-Header: value, with, lots, of, commas

Beide ergeben:

"example-header": value, with, lots, of, commas

Set-Cookie [COOKIE] erlaubt unquoted Kommas und mehrere Zeilen; Kombination zu einer Zeile ist i. d. R. nicht sinnvoll parsbar ([HTTP], Abschnitt 5.3). Cookies aus separaten Feldwerten verarbeiten, Signaturbasis aus der speziell kombinierten Form — bei ungültigen Werten ablehnen (Padding-Angriff, Abschnitt 7.5.7).

Anwendungen können signieren z. B. nur bei eindeutiger Einzelinstanz einschränken oder den Parameter bs nutzen (Abschnitt 2.1.3).

Letztes Update am