CoreRuleSet项目921140规则测试结果异常问题分析与修复

在CoreRuleSet项目的安全规则测试过程中，开发团队发现规则921140的测试结果存在异常情况。该规则设计用于检测HTTP请求头中的换行符（\n或\r），以防止HTTP响应拆分攻击。

问题背景 921140规则通过正则表达式[\n\r]检查请求头和头名称中是否包含换行符。测试用例中包含两种场景：

1. 直接包含\r字符的测试
2. 包含URL编码%0d的测试

问题分析 测试结果显示以下关键发现：

1. YAML解析问题：测试框架go-ftw使用的YAML库将\r解析为字面量而非控制字符，导致测试请求中实际发送的是\和r两个字符而非回车符
2. 解码函数不匹配：规则使用htmlEntityDecode转换函数，而测试用例使用URL编码值，导致无法正确检测
3. Apache行为差异：实际环境中，Apache服务器会对包含真正回车符的请求返回400错误

解决方案 开发团队经过深入讨论后确定：

1. 将转换函数从htmlEntityDecode改为urlDecodeUni，以正确识别URL编码的换行符
2. 等待go-ftw框架修复YAML解析问题
3. 添加更多测试用例覆盖不同换行符表示方式

技术要点

1. HTTP协议安全：换行符在HTTP头中可能导致响应拆分攻击，是重要的安全检查点
2. 编码处理：不同编码方式（URL编码、HTML实体编码）需要对应解码函数
3. 测试框架限制：测试工具对特殊字符的处理可能影响测试有效性

最佳实践建议

1. 在编写安全规则时，应考虑多种编码方式的检测
2. 测试用例设计需要验证工具对特殊字符的实际处理方式
3. 不同Web服务器对非法字符的处理差异需要考虑在内

该问题的修复不仅解决了921140规则的测试异常，也为类似规则的设计和测试提供了重要参考。开发团队通过这个问题深入理解了安全规则、编码处理和测试框架之间的复杂交互关系。