CRLFインジェクション
読み方:シーアールエルエフインジェクション
CRLFインジェクションとは
CRLFインジェクションとは、文字列の入力によって意図しない改行を指示できてしまう脆弱性です。この脆弱性が悪用されると、外部からの不正な改行入力によりWebページが改ざんされるおそれがあります。HTTPヘッダを狙った「HTTPヘッダインジェクション」やメールヘッダを狙った「メールヘッダインジェクション」など、攻撃された箇所によって名称が変わるのが特徴です。
対策として、一般的なインジェクションと同じように入力値制限が有効なほか、ユーザからの入力値をヘッダの値として使用しないことが挙げられます。
CRLFの語源
CRLFは「Carriage Return(キャリッジ・リターン)」と「Line Feed(ラインフィード)」の頭文字で、「カーソルを左端に移動して、次の行に移動する」というタイプライターの改行動作に由来します。
Windowsでは改行コードとして採用されています。
