--insecure-http-parser

在 HTTP 解析器上启用宽松标志。这可能允许与不符合标准的 HTTP 实现进行互操作。

【Enable leniency flags on the HTTP parser. This may allow interoperability with non-conformant HTTP implementations.】

启用后，解析器将接受以下内容：

【When enabled, the parser will accept the following:】

• 无效的 HTTP 头部值。
• 无效的 HTTP 版本。
• 允许消息同时包含 Transfer-Encoding 和 Content-Length 头。
• 当存在 Connection: close 时，允许消息后有额外数据。
• 在提供 chunked 之后允许额外的传输编码。
• 允许使用 作为标记分隔符，而不是 。
• 允许在一个块之后不提供 。
• 允许在块大小后和 之前存在空格。

以上所有情况都可能使你的应用暴露于请求走私或注入攻击。避免使用此选项。

【All the above will expose your application to request smuggling or poisoning attack. Avoid using this option.】