Content-Length – SMsoft – informatica e dintorni https://blog.smsoft.it consigli settimanali su MacOS, GNU/Linux ed Open Source Thu, 28 Aug 2025 20:29:48 +0000 it-IT hourly 1 https://wordpress.org/?v=67377 Apache/PHP e l’header Content-Length sparito https://blog.smsoft.it/2025/03/25/apache-php-e-lheader-content-length-sparito/ https://blog.smsoft.it/2025/03/25/apache-php-e-lheader-content-length-sparito/#respond Tue, 25 Mar 2025 09:30:00 +0000 https://blog.smsoft.it/?p=6684 Leggi tutto]]> Facendo alcuni test su degli script PHP è risultato che l’header Content-Length, seppur impostato, non veniva restituito da Apache.

Dopo alcune ricerche è emerso che dalla versione 2.4.59, per gli script CGI-like (come PHP) non possono più restituire l’header Content-Length per motivi di sicurezza (rif CVE-2024-24795).

Per ambienti sicuri è possibile ripristinare il precedente funzionamento tramite una nuova direttiva di apache chiamata ap_trust_cgilike_cl.

Per impostarla, creiamo un file chiamato /etc/apache2/conf-available/fix-cgi.conf con all’interno:

SetEnv ap_trust_cgilike_cl 1

e poi abilitiamolo con:

a2enconf fix-cgi
systemctl reload apache2

enjoy!

]]> https://blog.smsoft.it/2025/03/25/apache-php-e-lheader-content-length-sparito/feed/ 0 Apache+PHP: Content-Length header mancante https://blog.smsoft.it/2024/08/13/apachephp-content-length-header-mancante/ https://blog.smsoft.it/2024/08/13/apachephp-content-length-header-mancante/#respond Tue, 13 Aug 2024 08:30:00 +0000 https://blog.smsoft.it/?p=6390 Leggi tutto]]> Stavo lavorando su un File Manager PHP/JS che utilziza pdfjs per mostrare l’anteprima dei pdf. Inizialmente abbiamo caricato file molto grandi e funzionava tutto regolarmente, ma da qualche mese ci siamo trovati in difficoltà nel visualizzare i contenuti, perché il browser tentava di scaricare tutto il pdf prima di mostrarlo.

Ho fatto una serie di ricerche ed effettivamente pdfjs gestisce già da tempo il lazy loading dei pdf, grazie agli header Accept-Ranges e Content-Length e dopo qualche verifica mi sono accorto che effettivamente mancava l’header Content-Length nella risposta del server. Questo succede perché il file pdf non viene recuperato staticamente sul server, ma servito da uno script PHP che controlla se si hanno o meno i privilegi per visualizzarlo.

A questo punto doveva essere cambiato qualcosa lato server; ho provato a controllare tra le segnalazioni per apache ed è saltata fuori questa cosa: #68973: Content-Length header missing in 2.4.59 is a breaking change. In pratica con il rilascio di Apache 2.4.59 è stato introdotto un fix di sicurezza per la segnalazione CVE-2024-24795 che serve a prevenire che script CGI (compreso PHP in modalità fpm) inviino l’header Content-Length.

Fortunatamente c’è una variabile d’ambiente che possiamo impostare in apache per ripristinare il funzionamento precedente: ap_trust_cgilike_cl.

Possiamo quindi creare un file chiamato /etc/apache2/conf-available/fix-content-length.conf con il seguente contenuto:

SetEnv ap_trust_cgilike_cl 1

e poi attivare la configurazione e riavviare il servizio apache:

a2enconf fix-content-length
systemctl reload apache2

Se invece neanche le risorse statiche vengono servite correttamente se passato il parametro range, es:

curl https://www.smsoft.it/ -H "Range: bytes=0-8"

deve restituire solo <!DOCTYPE mentre se invece restituisce tutta la pagina va installato anche mod_security:

apt install libapache2-mod-security2
a2enmod security2
systemctl restart apache2

assicurandosi che la direttiva SecResponseBodyAccess in /etc/modsecurity/modsecurity.conf sia impostata ad On

enjoy!

]]> https://blog.smsoft.it/2024/08/13/apachephp-content-length-header-mancante/feed/ 0