7.5.3. Parsing Structured Field Values (解析 Structured Field 值)

本规范若干部分依赖解析 Structured Field 值 [STRUCTURED-FIELDS], 特别是 HTTP Structured Field 值的严格序列化 (第 2.1.1 节), 引用 Dictionary Structured Field 成员 (第 2.1.2 节), 以及验证签名时处理 @signature-input 值 (第 3.2 节). 虽然 Structured Field 值设计为相对易解析, 此类解析器的朴素或错误实现可能在实现中暴露微妙攻击面.

例如, 若 @signature-input 值的错误解析器不强制组成部分标识符列表内字符串值的引号正确闭合, 攻击者可能利用此点并通过操纵消息上的 Signature-Input 字段值向签名基注入附加内容.

为对抗此点, 实现应在签名者与验证者侧对所有 Structured Field 处理使用完全合规且可信的解析器.