nginx-0.6.4
Igor Sysoev
is at rambler-co.ru
Wed Jul 18 12:19:32 MSD 2007
On Wed, Jul 18, 2007 at 12:00:18PM +0400, Sergey A. Osokin wrote:
> On Tue, Jul 17, 2007 at 02:10:19PM +0400, Igor Sysoev wrote:
> > Изменения в nginx 0.6.4 17.07.2007
> >
> > *) Безопасность: при использовании директивы msie_refresh был возможен
> > XSS.
>
> Игорь, по возможности, сделайте расширенный комментарий этого
> исправления. На вскидку, diff -ruN nginx-0.6.3 nginx-0.6.4
> результата не дал.
XSS возможен только, если используется "msie_refresh on", по умолчанию
msie_refresh выключен. Включать msie_refresh имеет смысл достаточно редко.
При обращении 'http://site/"><sctipt>...'
msie_refresh возвращал
<html><head><meta http-equiv="Refresh"
content="0; URL=http://newsite/"><sctipt>
Теперь выдаёт
<html><head><meta http-equiv="Refresh"
content="0; URL=http://newsite/%22><sctipt>
diff можно сделать, если это критично для старых версий.
--
Игорь Сысоев
http://sysoev.ru
More information about the nginx-ru
mailing list