Дослідник безпеки Джеймс Кеттл знайшов серію вразливостей у взаємодії між фронтальними серверами, які використовують HTTP/2, та задніми серверами, які використовують HTTP/1.1, а також в Apache. Вразливості викликані тим, що багато серверів, які пересилають запити перетворюючи їх між HTTP/2 та HTTP/1.1, не виконують перевірки на наявність
' ', '\n' у заголовках, іменах заголовків, чи навіть у методі та протоколі, що дозволяє вставляти додаткові запити після фронтального сервера або обходити перевірки безпеки.
Стаття:
https://portswigger.net/research/http2
