>[info]相对路径覆盖(RPO)漏洞 RPO（Relative Path Overwrite）相对路径覆盖，是一种新型攻击技术，最早由Gareth Heyes在其发表的文章中提出。主要是利用浏览器的一些特性和部分服 务端的配置差异导致的漏洞，通过一些技巧，我们可以通过相对路径来引入其他的资源文件，以至于达成我们想要的目的。 就目前来看此攻击方法依赖于浏览 器和网络服务器的反应，基于服务器的Web缓存技术和配置差异，以及服务器和客户端浏览器的解析差异，利用前端代码中加载的css/js的相对路径来加载其他 文件，最终浏览器将服务器返回的不是css/js的文件当做css/js来解析，从而导致XSS，信息泄露等漏洞产生。 **解决方案：** 因为触发这个漏洞有两个基本的前提： （1）Apache 配置错误导致AllowEncodedSlashes这个选项开启（对Apache来说默认情况下 AllowEncodedSlashes 这个选项是关闭的），或者nginx服务器。 （2）存在相对路径的js或者css的引用。 所以首先需要开发人员注意代码书写规范，其次在页面中避免直接使用相对 路径进行静态文件的加载。