Сканирование безопасности говорит, что используется заголовок для ввода полезной нагрузки, но я не выполняю напрямую содержимое этого HTTP-заголовка?

Question

У меня есть веб-сайт, на котором запущена laravel 5.3 в ubuntu с nginx 1.4.6

Я провел сканирование безопасности, которое привело к «внедрению команды ОС» путем изменения заголовка HTTP и ввода полезной нагрузки.

Проблема в том, что я не могу найти, где я не очищаю свои заголовки. Или это должен быть параметр в nginx?

Я ценю помощь, так как много часов пытались понять это.

Answer 1

Думаю, это невозможно сделать, изменив конфигурацию nginx. Для начала нужно найти код и разобраться в проблеме. Когда вы упоминаете заголовок, возможно, вы используете где-то заголовок вперед по местоположению или где-то используете $ _SERVER ['PHP_SELF'] ...

Здесь я объяснил, почему это может быть проблемой

Использование $ _SERVER ['PHP_SELF']; vs htmlentities ($ _ SERVER ['PHP_SELF']); для канонической ссылки на https

Но без кода мы не сможем вам помочь