Re: unit: 400 ошибка при заголовках, содержащих юникод

[Илья Шипицин]

чт, 5 июл. 2018 г. в 19:12, Валентин Бартенев <vbart на nginx.com>:

> On Thursday 05 July 2018 15:28:48 Vadim A. Misbakh-Soloviov wrote:
> > А почему бы не разрешить юникод?
> > Ну и, справедливости ради, я был бы не против если бы поддержка
> (отсутствие
> > запрета, точнее) юникода была не только в *значениях* заголовков, но и в
> самих
> > именах.
> >
> > Не то, чтобы я это активно испольновал, но не вижу явных причин для
> запрета...
>
> Всё это потом попадает в интерпретаторы языков программирования и в сами
> программы, разработчики которых очень часто не предполагают, что в
> заголовке
> может прилететь что-то подобное.  Как результат потом имеем разные занятные
> уязвимости в самых неожиданных местах.
>

мы в режиме реального времени наблюдаем, как браузер MSIE (разработки
компании Microsoft)
упорно пихает юникод в заголовки, а веб-сервер Kestrel (тоже разработки
компании Microsoft)
на это говорит "ая-а-я-яй, не по RFC, вот тебе 400, держи"

не всегда разработчики браузеров и вебсерверов одинаково читают RFC



> --
> Валентин Бартенев
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20180705/1bbd7fce/attachment-0001.html>