В конце января в логах нашей внутренней системы анализа пользовательских кликов на сайте kidsreview.ru появились сотни переходов по странным линкам вида:
Метка «http-заголовки»
Подмена (встраивание) спам-ссылок на страницы сайта плагинами браузеров, cpatext, Content-Security-Policy
2014-05-31 в 19:51, admin, рубрики: content security policy, kidsreview.ru, Блог компании KidsReview.ru, браузеры, информационная безопасность, плагины, спам, метки: content security policy, http-заголовки, kidsreview.ru, браузеры, информационная безопасность, плагины, спамПередача параметров в HTTP-заголовке через запятую для Apache CXF
2013-05-07 в 12:58, admin, рубрики: http-заголовки, java, rest, метки: http-заголовки, java, restПредистория:
Согласно RFC-2616, HTTP header можно передавать кучей разных способов.
Мы использовали вариант КЛЮЧ = <ЗНАЧЕНИЕ-1>,<ЗНАЧЕНИЕ-2>,...,<ЗНАЧЕНИЕ-N>
Библиотека Apache CXF до версии 2.5.8 (включительно) обрабатывала такую ситуацию корректно.
Проблема:
С версии 2.5.9 Apache CXF втихоря «улучшились» и допустимыми признают только КЛЮЧ = <ЗНАЧЕНИЕ>
Ни в документации, ни на форуме апача нет ответа на вопрос:
Как разрешить Apache CXF принимать параметры заголовка HTTP-запроса (HTTP header) через запятую?