<div dir="ltr"><div dir="ltr"><div>ИМХО, вы не тем занимаетесь, боритесь с XSS на backend + хидер для браузеров:</div><br># This header enables the Cross-site scripting (XSS) filter built into most recent web browsers.<br># It's usually enabled by default anyway, so the role of this header is to re-enable the filter for<br># this particular website if it was disabled by the user.<br># <a href="https://www.owasp.org/index.php/List_of_useful_HTTP_headers">https://www.owasp.org/index.php/List_of_useful_HTTP_headers</a><br>add_header X-XSS-Protection "1; mode=block";</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Apr 23, 2019 at 9:57 AM anatolr <<a href="mailto:nginx-forum@forum.nginx.org">nginx-forum@forum.nginx.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Пытаюсь закрыть выполнение такого вида запросов к сайту<br>
содержащих специальный символ < или ><br>
<br>
<a href="http://www.host.ru/index.php/" rel="noreferrer" target="_blank">http://www.host.ru/index.php/</a>><br>
<script>document.body.style.backgroundImage=url('http://.../orig_.jpg')";</script><b<br>
<br>
<br>
делаю с помощью <br>
<br>
location ~* ^(.*)(\<)+(.*)$ {<br>
return 404; <br>
}<br>
<br>
но запрос не перехватывается код > 3C<br>
<br>
пробовал в hex кодe как-то так (.*)[^\3С]+(.*)<br>
<br>
как правильно указать в location такого вида символы?<br>
<br>
Прошу помогите пожайлуста как запретить такие строки в nginx?<br>
<br>
Posted at Nginx Forum: <a href="https://forum.nginx.org/read.php?21,283878,283878#msg-283878" rel="noreferrer" target="_blank">https://forum.nginx.org/read.php?21,283878,283878#msg-283878</a><br>
<br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org" target="_blank">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature">Yours sincerely,<br>Vladimir Getmanshchuk</div>