escape SSI echo

Валентин Бартенев ne на vbart.ru
Ср Июн 27 14:59:17 UTC 2012


On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
> В долгом кеше лежит страница вида
> <html>
> ...
> <!--# include virtual="/foo" -->
> ...
> Hello, <!--# echo var="name" -->.
> Your motto:
> <div class=sig>
>   <!--# echo var="sig" -->
> </div>
> ...
> 
> 
> По /foo бекенд отдаёт набор SSI директив, типа
> <!--# set var="name" value="Peter" -->
> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
> 
> 
> Значения некоторых переменных задаются доверенными пользователями. То
> есть HTML допустим, защита от XSS административная. Что нужно
> эскейпить в переменных, чтобы они не сломали SSI директивы?


Кавычки \", если я правильно понял вопрос.

--
Валентин Бартенев


Подробная информация о списке рассылки nginx-ru