<div dir="ltr"><br><br><div class="gmail_quote"><div dir="ltr">чт, 5 июл. 2018 г. в 19:12, Валентин Бартенев <<a href="mailto:vbart@nginx.com">vbart@nginx.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thursday 05 July 2018 15:28:48 Vadim A. Misbakh-Soloviov wrote:<br>
> А почему бы не разрешить юникод?<br>
> Ну и, справедливости ради, я был бы не против если бы поддержка (отсутствие <br>
> запрета, точнее) юникода была не только в *значениях* заголовков, но и в самих <br>
> именах.<br>
> <br>
> Не то, чтобы я это активно испольновал, но не вижу явных причин для запрета...<br>
<br>
Всё это потом попадает в интерпретаторы языков программирования и в сами<br>
программы, разработчики которых очень часто не предполагают, что в заголовке<br>
может прилететь что-то подобное.  Как результат потом имеем разные занятные<br>
уязвимости в самых неожиданных местах.<br></blockquote><div><br></div><div>мы в режиме реального времени наблюдаем, как браузер MSIE (разработки компании Microsoft) <br></div><div>упорно пихает юникод в заголовки, а веб-сервер Kestrel (тоже разработки компании Microsoft)</div><div>на это говорит "ая-а-я-яй, не по RFC, вот тебе 400, держи"<br></div><div> </div><div>не всегда разработчики браузеров и вебсерверов одинаково читают RFC<br></div><div><br></div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
--<br>
Валентин Бартенев<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div></div>