7.5.8. Ambiguous Handling of Query Elements (Query-Mehrdeutigkeit)

7.5.8. Ambiguous Handling of Query Elements (Mehrdeutige Behandlung von Query-Elementen)

Das HTML-Formularformat application/x-www-form-urlencoded ([HTMLURL], Abschnitt 5) ist weit verbreitet. Manche Frameworks mischen Query-Parameter des URI und solche aus dem Nachrichtenkörper, besonders bei POST mit application/x-www-form-urlencoded. @query-param (Abschnitt 2.2.8) bezieht Werte nur aus dem Query-Teil der Ziel-URI. Ein Angreifer könnte signierte Query-Parameter durch unsignierte Formularfelder überschreiben oder umgekehrt.

Anwendungen müssen sicherstellen, dass Signaturbasis und Anwendungslogik denselben Kontext nutzen — hier typischerweise nur der Query-Teil der Ziel-URI. Bei vorhandenem Anfrageinhalt sollte auch der Inhalt signiert werden (Abschnitt 7.2.8).

7.5.8. Ambiguous Handling of Query Elements (Mehrdeutige Behandlung von Query-Elementen)​

7.5.8. Ambiguous Handling of Query Elements (Mehrdeutige Behandlung von Query-Elementen)