HTTPie 是一个开源的命令行的 HTTP 工具包，提供命令行交互方式来访问 HTTP 服务。1.0.3 已经发布，更新内容如下：

修复了 CVE-2019-10751，没有 --output 的 --download 请求的生成输出文件名的方式，导致重定向的输出被更改为只考虑初始 URL 作为生成文件名的基础，而不是最终文件名。

这解决了以下情况下的潜在安全问题：

• 没有的 --output 的 --download 请求被生成(例如，$http-d example.org/file.txt)，指示 httpie 从 Content-Disposition 响应头生成输出文件名，如果没有提供报头，则从 URL 生成输出文件名
• 处理请求的服务器被攻击者修改，URL 返回一个重定向到另一个 URL，例如 attacker.example.org/.bash_profile，其响应不提供 Content-Disposition 头(即生成的文件名的基变成 .bash_profile 而不是 file.txt)，而不是预期的响应
• 当前目录不包含 .bash_profile(也就是说，生成的文件名没有添加唯一的后缀)
• 你没有注意到控制台输出中 httpie 报告出现的意外的输出文件名(例如，Downloading 100.00 B to ".bash_profile")

详情见更改日志：https://github.com/jakubroztocil/httpie/releases/tag/1.0.3