HTTPie 是一个开源的命令行的 HTTP 工具包,提供命令行交互方式来访问 HTTP 服务。1.0.3 已经发布,更新内容如下:
修复了 CVE-2019-10751,没有 --output 的 --download 请求的生成输出文件名的方式,导致重定向的输出被更改为只考虑初始 URL 作为生成文件名的基础,而不是最终文件名。
这解决了以下情况下的潜在安全问题:
- 没有的 --output 的 --download 请求被生成(例如,$http-d example.org/file.txt),指示 httpie 从 Content-Disposition 响应头生成输出文件名,如果没有提供报头,则从 URL 生成输出文件名
- 处理请求的服务器被攻击者修改,URL 返回一个重定向到另一个 URL,例如 attacker.example.org/.bash_profile,其响应不提供 Content-Disposition 头(即生成的文件名的基变成 .bash_profile 而不是 file.txt),而不是预期的响应
- 当前目录不包含 .bash_profile(也就是说,生成的文件名没有添加唯一的后缀)
- 你没有注意到控制台输出中 httpie 报告出现的意外的输出文件名(例如,Downloading 100.00 B to ".bash_profile")
详情见更改日志:https://github.com/jakubroztocil/httpie/releases/tag/1.0.3