Setting arbitrary request headers in Chromium via CRLF injection

通过 CRLF 注入在 Chromium 中设置任意请求头。

话说这个漏洞的成因真心简单啊！就是 Chrome 浏览器在发送 sec-required-csp 的 HTTP Headers 的时候，这个 header 的来源是请求的 CSP Embedded Enforcement 而刚好这个 CSP 的字段可以通过注入 CRLF 而造成任意 request header