Popis:Webový server Apache umožňuje prostřednictvím svého modulu mod_negotiation využívat MultiViews pro výběr uživatelem preferovaného obsahu. V praxi se MultiViews používá nejčastěji u vícejazyčných webových aplikací, které vrací obsah souborů s požadovanou jazykovou mutací obsahu na základě HTTP request hlavičky Accept-Language.
MultiViews se navíc rozhoduje o volbě vráceného obsahu i na základě jiných HTTP hlaviček, například Accept. V případě, kdy je požadován konkrétní soubor, ale hodnota hlavičky Accept vyžaduje neexistující typ souboru, vrací server nabídku alternativních zdrojů (soubory s dostupnými příponami). Toto chování umožňuje útočníkům odhalit na serveru poměrně snadno například záložní soubory.
Starší verze Apache navíc neošetřuje názvy souborů při výstupu do stránky s alternativními zdroji a umožňuje tak spuštění libovolného kódu Javascriptu - XSS a útoky typu HTTP Response Splitting.
Pokud tedy MultiViews cíleně nevyužíváte, ale přesto jej máte na serveru povolen, doporučujeme jeho vypnutí.
