Estoy tratando de envolver mi cabeza, por eso se recomienda validar el content-type
, enviado por un cliente a una API REST.
OWASP declara en su hoja de trucos de seguridad REST : p>
Al enviar o enviar nuevos datos, el cliente especificará el tipo de contenido (por ejemplo, application / xml o application / json) de los datos entrantes. El servidor nunca debe asumir el tipo de contenido; siempre debe verificar que el encabezado Content-Type y el contenido sean del mismo tipo. La falta de un encabezado de tipo de contenido o un encabezado de tipo de contenido inesperado debería hacer que el servidor rechace el contenido con una respuesta 406 No aceptable.
Realmente nunca establecen cómo se puede explotar una validación faltante. Por supuesto, es mejor validar la entrada, por el bien del analizador de datos, pero el encabezado puede ser falsificado por un atacante, ¿no?
¿Por qué se sugiere la validación content-type
y cómo podría explotarse una validación faltante?