跳到主要内容

9. 安全考虑事项

本文档描述与在 HTTP/1.1 中 optimistic 使用协议转换相关的安全考虑事项.

这里的重点是, 在请求尚未被完整解析或连接状态尚未清晰界定之前就提前切换协议, 可能放大 request smuggling、解析器差异和中间节点行为不一致等风险. 因此, 实现者应谨慎处理 Upgrade、CONNECT 和类似转换机制, 并确保客户端、服务器和中间代理对消息边界有一致理解.

本节不引入新的 HTTP 扩展, 而是强调使用既有协议转换机制时的安全边界. 部署者应结合 HTTP/1.1 解析规则、代理行为和本地策略进行防护.