欢迎来到阿八个人博客网站。本 阿八个人博客 网站提供最新的站长新闻,各种互联网资讯。 喜欢本站的朋友可以收藏本站,或者加QQ:我们大家一起来交流技术! URL链接：https://www.abboke.com/ws/2019/0828/108654.html

HTTPie 是一个开源的命令行的 HTTP 工具包，提供命令行交互方式来访问 HTTP 服务。1.0.3 已经发布，更新内容如下：

修复了 CVE-2019-10751，没有 --output的 --download 请求的生成输出文件名的方式，导致重定向的输出被更改为只考虑初始 URL 作为生成文件名的基础，而不是最终文件名。

这解决了以下情况下的潜在安全问题：

没有的 --output 的 --download 请求被生成(例如，$http-d example.org/file.txt)，指示 httpie 从 Content-Disposition 响应头生成输出文件名，如果没有提供报头，则从 URL 生成输出文件名处理请求的服务器被攻击者修改，URL 返回一个重定向到另一个 URL，例如 attacker.example.org/.bash_profile，其响应不提供 Content-Disposition 头(即生成的文件名的基变成 .bash_profile 而不是 file.txt)，而不是预期的响应当前目录不包含 .bash_profile(也就是说，生成的文件名没有添加唯一的后缀)你没有注意到控制台输出中 httpie 报告出现的意外的输出文件名(例如，Downloading 100.00 B to ".bash_profile")

详情见更改日志：https://github.com/jakubroztocil/httpie/releases/tag/1.0.3