7.1.1. Skipping Signature Verification (跳过签名验证)

HTTP 消息签名仅在验证者验证签名时提供安全. 由于附加签名的消息在没有 Signature 或 Signature-Input 字段时仍为有效 HTTP 消息, 验证者可能忽略验证函数输出仍处理消息. 常见原因可能是开发环境中放宽要求或调试整体系统时暂时暂停强制验证. 此类暂时暂停在仅正向示例测试下难以检测, 因为良好签名无论是否检查都会触发有效响应.

为检测此点, 验证者应使用有效与无效签名测试, 确保无效签名按预期失败.