X-Accel-Redirect
Igor Sysoev
is at rambler-co.ru
Sun Apr 20 10:53:16 MSD 2008
On Sat, Apr 19, 2008 at 10:31:23PM +0300, Alex Vorona wrote:
> Igor Sysoev пишет:
> >On Sat, Apr 19, 2008 at 09:59:02PM +0300, Alex Vorona wrote:
> >
> >>Alex Vorona пишет:
> >>>Alex Vorona пишет:
> >>>>Igor Sysoev пишет:
> >>>>>On Fri, 23 Dec 2005, Dmitriy MiksIr wrote:
> >>>>>
> >>>>>>Понял, будем переделывать =)
> >>>>>>Тогда к вопросу о безопасности - если некий скрипт на бекенде выдает
> >>>>>>X-Accel-Redirect: /
> >>>>>>То происходит зацикливание запроса...
> >>>>>>Возможно, предусмотреть счетчик запросов или просто разрешить
> >>>>>>принимать X-Accel-Redirect редиректы только на location помеченный
> >>>>>>как internal.
> >>>>>Да, нужно сделать какое-то ограничение.
> >>>>>
> >>>>>
> >>>>>Игорь Сысоев
> >>>>>http://sysoev.ru
> >>>>>
> >>>>>
> >>>>Как-то можно вообще отключить X-Accel-Redirect в определённом
> >>>>location с недоверяемыми бэкендами?
> >>>>
> >>>>
> >>>Игорь, что скажете про вложенный патч?
> >>>
> >>в тестовом окружении работает пока без нареканий.
> >
> >Я планирую в скором времени по умолчанию отрубать X-Accel-...
> >Пока думаю, как быть со старыми конфигурациями. Один вариант -
> >выдавать warning про выключенный X-Accel-Redirect, если в конфигурации
> >есть хотя бы один internal.
> >
> >
> тогда варнинг будет и для location для перенаправленных ошибок или ssi.
Да, но в этом случае будет достаточно поставить на уровне http
x_accel_redirect off;
> Отключение X-Accel-... по умолчанию имеет под собой performance boost?
Нет, дело именно в безопасности.
--
Игорь Сысоев
http://sysoev.ru
More information about the nginx-ru
mailing list