7.3.4. Key Specification Mixup (密钥规范混淆)
7.3.4. Key Specification Mixup (密钥规范混淆)
HTTP 消息上存在有效签名不足以证明消息已由适当方签名. 验证者必须确保给定密钥与算法对问题消息适当. 若验证者不执行此步骤, 攻击者可能用自己的密钥在消息上替换自己的签名并迫使验证者接受并处理. 为对抗此点, 验证者需要不仅确保签名可对消息验证, 还要确保所用密钥与算法适当.
HTTP 消息上存在有效签名不足以证明消息已由适当方签名. 验证者必须确保给定密钥与算法对问题消息适当. 若验证者不执行此步骤, 攻击者可能用自己的密钥在消息上替换自己的签名并迫使验证者接受并处理. 为对抗此点, 验证者需要不仅确保签名可对消息验证, 还要确保所用密钥与算法适当.