CRLF是“回車(chē) + 換行”（\r\n）的簡(jiǎn)稱(chēng)。在HTTP協(xié)議中，HTTP Header與HTTP Body是用兩個(gè)CRLF分隔的，瀏覽器就是根據(jù)這兩個(gè)CRLF（使用payload %0a%0d%0a%0d進(jìn)行測(cè)試）來(lái)取出HTTP內(nèi)容并顯示出來(lái)。所以，一旦我們能夠控制HTTP消息頭中的字符，注入一些惡意的換行，這樣我們就能注入一些會(huì)話(huà)Cookie（http://www.xx.com%0a%0d%0a%0dSet-cookie:JSPSESSID%3Dxxx）或者HTML代碼（http://www.xx.com/?url=%0a%0d%0a%0d），所以CRLF Injection又叫HTTP Response Splitting，簡(jiǎn)稱(chēng)HRS。

成都網(wǎng)絡(luò)公司-成都網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián)十年經(jīng)驗(yàn)成就非凡，專(zhuān)業(yè)從事成都網(wǎng)站建設(shè)、做網(wǎng)站，成都網(wǎng)頁(yè)設(shè)計(jì)，成都網(wǎng)頁(yè)制作，軟文推廣，1元廣告等。十年來(lái)已成功提供全面的成都網(wǎng)站建設(shè)方案，打造行業(yè)特色的成都網(wǎng)站建設(shè)案例，建站熱線(xiàn)：028-86922220，我們期待您的來(lái)電！

修復(fù)建議：

過(guò)濾\r 、\n之類(lèi)的換行符，避免輸入的數(shù)據(jù)污染到其他HTTP頭。