подчёркивания в именах строк в заголовке запроса клиента

Gena Makhomed gmm at csdoc.com
Wed Sep 10 13:53:47 MSD 2008


On Wednesday, September 10, 2008 at 8:21:15, Igor Sysoev wrote:

>>> *) Добавление: теперь nginx разрешает подчёркивания в именах строк
>>>                в заголовке запроса клиента.

>> BTW, в результате конструкция вида
>> 
>>      proxy_set_header  X-Permit-Something  "OK";
>> 
>> (где OK или нет определяется скажем из ip-адреса клиента) с 
>> последующей проверкой на бекенде в cgi-скрипте под Apache 
>> как-нибудь вроде
>> 
>>      if ($ENV{HTTP_X_PERMIT_SOMETHING} eq 'OK') {
>>          ...
>>      }
>> 
>> становится небезопасной, т.к. клиент может передать заголовок 
>> X_Permit_Something ('_' вместо '-'), этот заголовок не будет убран
>> nginx'ом из запроса и в запросе к Apache будет стоять после 
>> заголовка X-Permit-Something, добавленного nginx'ом.
>> Apache в свою очередь в переменную окружения HTTP_X_PERMIT_SOMETHING
>> поместит именно последний пришедший в запросе заголовок (т.е. заголовок от клиента).

IS> Хуже того. Можно послать X_Real_IP. В общем, именно из-за таких
IS> неоднозначностей я и не хотел долгое время разрешать подчёркивание
IS> в заголовках, которое позволяется RFCом.

а ведь можно сделать так, чтобы поля заголовков никогда не перекрывались.
например, символ '_' полученный в запросе клиента транслировать в '__'.
тогда поле X_Permit_Something превратится в HTTP_X__PERMIT__SOMETHING

если backend неизменяем и ожидает переменную HTTP_X_PERMIT_SOMETHING
для таких случаев администратор может вручную сделать переопределение:
proxy_set_header X-Permit-Something $X__Permit__Something;

и на backend`е будет получена переменная HTTP_X_PERMIT_SOMETHING
из поля клиентского запроса X_Permit_Something, что и требовалось.
при этом backend`ы будут надежно защищены от возможных фальсификаций.

-- 
Best regards,
 Gena






More information about the nginx-ru mailing list