https://blog.qife122.com/tags/qpack/ Recent content in QPACK on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 12:33:39 +0800 https://blog.qife122.com/p/http/3%E5%8D%8F%E8%AE%AE%E8%B5%B0%E7%A7%81%E4%B8%8E%E9%80%9A%E8%BF%87qpack%E5%80%BC%E8%BD%AC%E6%8D%A2%E4%B8%ADcrlf%E5%AE%9E%E7%8E%B0%E5%A4%B4%E9%83%A8%E6%B3%A8%E5%85%A5/ Tue, 30 Dec 2025 12:33:39 +0800 https://blog.qife122.com/p/http/3%E5%8D%8F%E8%AE%AE%E8%B5%B0%E7%A7%81%E4%B8%8E%E9%80%9A%E8%BF%87qpack%E5%80%BC%E8%BD%AC%E6%8D%A2%E4%B8%ADcrlf%E5%AE%9E%E7%8E%B0%E5%A4%B4%E9%83%A8%E6%B3%A8%E5%85%A5/ <h3 id="http3协议走私与通过qpack值转换中crlf实现头部注入">HTTP/3协议走私与通过QPACK值转换中CRLF实现头部注入</h3> <p>一个基本的设计缺陷存在于libcurl处理所有受支持后端（ngtcp2, quiche, openssl-quic）的HTTP/3（QUIC）响应头的方式中。该漏洞根源于将二进制QPACK头（HTTP/3）不安全地转码为curl内部管道使用的文本HTTP/1.1格式。</p>