OWASP CheatSheetSeries：REST API中Content-Type与Content-Length的协同处理规范

在REST API安全实践中，请求头部的Content-Type和Content-Length字段处理一直是开发者需要重点关注的安全边界。OWASP CheatSheetSeries项目近期针对这两个关键头部字段的协同处理规范进行了重要更新，特别明确了空内容请求场景下的处理逻辑。

背景与问题

传统REST安全指南通常要求对所有包含请求体的HTTP请求强制验证Content-Type头部，返回406或415状态码拒绝不符合预期的内容类型。但在实际业务场景中，存在Content-Length为0的特殊请求（如占位请求、无变更通知等），这类请求是否需要强制携带Content-Type头部一直存在实践分歧。

核心规范更新

经过技术社区深入讨论，OWASP安全指南确立了以下处理原则：

1. 零长度内容豁免原则：当请求头中明确声明Content-Length: 0时，服务端不应强制要求Content-Type头部。这是考虑到空内容本身不具备可分类的数据特征。

2. 显式内容类型保留原则：即使Content-Length为0，客户端仍可选择携带Content-Type头部。例如text/plain或application/json等类型化的空内容，在某些业务场景中仍具有语义价值。

3. 防御性验证策略：对于非零长度的请求，必须严格执行Content-Type验证，包括：

   • 拒绝缺失Content-Type的请求
   • 拒绝不受支持的内容类型
   • 验证声明类型与实际内容的一致性

技术实现建议

在具体实现层面，建议采用以下处理流程：

if (request.hasBody()) {
    if (!request.hasContentType()) {
        return 415 Unsupported Media Type;
    }
    
    if (!isAllowedContentType(request.getContentType())) {
        return 415 Unsupported Media Type;
    }
    
    if (request.getContentLength() > 0) {
        validateContentMatchesDeclaredType();
    }
}

安全与兼容性平衡

这一规范更新体现了安全防护与实际业务需求的平衡：

1. 减少误报：避免对合法的空内容请求产生不必要的拦截
2. 保持扩展性：允许业务系统定义类型化空内容的特殊语义
3. 维持防护强度：对实际数据传输维持严格的内容类型验证

开发者在实施时应当注意，该豁免仅适用于明确声明Content-Length为0的请求。对于使用Transfer-Encoding: chunked的请求，仍应要求正确的Content-Type头部。

最佳实践补充

1. 在API文档中明确说明空内容请求的处理规则
2. 对关键接口建议保留Content-Type头部以增强可审计性
3. 考虑在网关层实现统一的头部验证逻辑
4. 对敏感操作建议禁用空内容请求

这一规范更新已被主流WAF规则集采纳，建议所有REST API服务开发者同步调整验证逻辑，在确保安全性的同时提升接口的可用性。