HTTP HEAD 注入攻击（中风险）

大多情况下开发人员都对HTTP主机头值非常信任。因为它在正常的业务操作中，是不可能被 改变的，取它的值来生成链接，导入脚本，甚至应用到密码重置中.

没什么好的办法，建议使用https协议。