]> git.ipfire.org Git - thirdparty/haproxy.git/commit
projects / thirdparty / haproxy.git / commit
? search:
summary | shortlog | log | commit | commitdiff | tree
(parent: d3d9d83) | patch
BUG/MAJOR: h1: Be stricter on request target validation during message parsing
authorChristopher Faulet <cfaulet@haproxy.com>
Wed, 15 May 2024 14:53:50 +0000 (16:53 +0200)
committerChristopher Faulet <cfaulet@haproxy.com>
Wed, 15 May 2024 19:20:37 +0000 (21:20 +0200)
commit25bcdb1d950a1505e4169b1eca48f5af7a13243f
tree990b62ada987c9c49babad8675f8ebb5b393a0d1tree
parentd3d9d83f036871c1bf76399e8ccacffaf05d5943commit | diff
BUG/MAJOR: h1: Be stricter on request target validation during message parsing

As stated in issue #2565, checks on the request target during H1 message
parsing are not good enough. Invalid paths, not starting by a slash are in
fact parsed as authorities. The same error is repeated at the sample fetch
level. This last point is annoying because routing rules may be fooled. It
is also an issue when the URI or the Host header are updated.

Because the error is repeated at different places, it must be fixed. We
cannot be lax by arguing it is the server's job to accept or reject invalid
request targets. With this patch, we strengthen the checks performed on the
request target during H1 parsing. Idea is to reject invalid requests at this
step to be sure it is safe to manipulate the path or the authority at other
places.

So now, the asterisk-form is only allowed for OPTIONS and OTHER methods.
This last point was added to not reject the H2 preface. In addition, we take
care to have only one asterisk and nothing more. For the CONNECT method, we
take care to have a valid authority-form. All other form are rejected. The
authority-form is now only supported for CONNECT method. No specific check
is performed on the origin-form (except for the CONNECT method). For the
absolute-form, we take care to have a scheme and a valid authority.

These checks are not perfect but should be good enough to properly identify
each part of the request target for a relative small cost. But, it is a
breaking change. Some requests are now be rejected while they was not on
older versions. However, nowadays, it is most probably not an issue.  If it
turns out it's really an issue for legitimate use-cases, an option would be
to supports these kinds of requests when the "accept-invalid-http-request"
option is set, with the consequence of seeing some sample fetches having an
unexpected behavior.

This patch should fix the issue #2665. It MUST NOT be backported. First
because it is a breaking change. And then because by avoiding backporting
it, it remains possible to relax the parsing with the
"accept-invalid-http-request" option.
reg-tests/http-messaging/h1_request_target_validation.vtc [new file with mode: 0644] blob
src/h1.c diff | blob | blame | history
Mirror of https://github.com/haproxy/haproxy.git