testssl.sh 中 HSTS 头部解析对指令间空格的处理问题分析

问题描述

在网络安全测试工具 testssl.sh 的 3.2rc3 版本中，发现其对 HTTP Strict Transport Security (HSTS) 头部的解析存在一个细微但重要的缺陷。当服务器返回的 HSTS 头部在指令之间包含空格时，例如：

Strict-Transport-Security: max-age=31536000 ; includeSubDomains

工具会错误地将这种有效的 HSTS 头部标记为配置异常。这种误报源于工具对 RFC 6797 规范中关于 HSTS 头部格式要求的理解不够全面。

技术背景

HSTS 是一种重要的 Web 安全机制，它通过 HTTP 响应头指示浏览器只能通过 HTTPS 与网站交互。其标准格式定义在 RFC 6797 中，包含以下关键要素：

1. max-age 参数是必需的，指定策略的有效期（秒数）
2. 可选参数如 includeSubDomains 和 preload
3. 参数之间使用分号分隔

根据 RFC 规范，参数间的线性空白（包括空格）是允许的，这属于 HTTP 头部的通用语法规则。

问题根源分析

通过调试日志可以清楚地看到问题发生的过程：

1. 工具首先提取 max-age 参数值 "31536000 ; includeSubDomains"
2. 然后截取分号前的内容得到 "31536000 "
3. 在验证这个值是否为纯数字时，由于末尾包含空格，验证失败

核心问题在于工具在截取 max-age 值后，没有去除可能存在的尾部空格，导致数字验证失败。

解决方案

修复方案相对简单但有效：在验证 max-age 值之前，先调用现有的 strip_trailing_space 函数去除尾部空格。这样可以确保：

1. 兼容 RFC 规范允许的空格
2. 不影响严格的安全检查
3. 保持代码的简洁性

更深层次的技术考量

这个问题引发了对 HTTP 头部解析更广泛的思考：

1. 线性空白处理：HTTP 头部允许在特定位置出现空白（0x20），但不包括垂直制表符等其他空白字符
2. 头部键值对格式：键和冒号之间不允许有空白，这在历史上曾导致安全问题
3. 严格的语法检查：安全工具需要在兼容性和严格性之间找到平衡

总结

这个看似简单的空格处理问题实际上反映了安全工具开发中的一个重要原则：对标准规范的精确理解和实现。testssl.sh 作为一款广泛使用的安全测试工具，正确处理各种边界情况对于其可靠性和权威性至关重要。此问题的修复不仅解决了特定场景下的误报问题，也增强了工具对标准协议的兼容性。