答案：凡是用浏览器查看任何Web网站，无论该Web网站采用何种技术和框架，都用到了HTTP协议。HTTP协议在Response Header和Content之间有一个空行，即两组CRLF(0x0D 0A)字符。这个空行标志着Headers的结束和Content的开始。攻击者可以利用这一点。只要攻击者有办法将任意字符注入Headers中，这种攻击就可以发生。

最好的防范Heads攻击的办法是使用HTTPS协议。