http://slashdot.jp/security/article.pl?sid=10/05/25/0826203
さらに、一部の機種では、setRequestHeaderメソッドによりHostフィールドを
書き換え可能なものがあり、この場合は、従来推奨していた
「Hostフィールドのチェック」によるアプリケーション側での対策がとれないことがわかった。
http://slashdot.jp/security/article.pl?sid=10/05/25/0826203
さらに、一部の機種では、setRequestHeaderメソッドによりHostフィールドを
書き換え可能なものがあり、この場合は、従来推奨していた
「Hostフィールドのチェック」によるアプリケーション側での対策がとれないことがわかった。