mod_ctr или можно обойтись просто rewrite ?

Alex Tutubalin lexa at lexa.ru
Mon May 8 08:47:03 MSD 2006


> >Так как URL-и мы в данном месте получаем снаружи, то для
> >редиректора мы их на всякий случай эскейпим целиком (а не только 
> >http://host).
> >И, соответственно, хочется целиком их разворачивать.
> 
> Делать unescape всего и вся нельзя. Сейчас nginx раскрывает только символы
> в пределах 0x26 - 0x7E, остальные не трогает. Сделано это прежде всего
> для запрещения XSS, когда в URL вставляют %0D и %0A.

Я, честно говоря, не есть понимай. Ну, допустим, мне в редиректор
снаружи нальют таких символов. Я сделаю редирект куда-то. Ну
и что ?

> Я склоняюсь к мысли, что нужно раскрывать в переделах 0x21-%7E вместе
> с query strting. %25 при этом будет превращатся в '%'.
Да, вполне нормально.
Вообще, я бы не эскейпил ничего в url=, но кое-кто кушает второй
slash и в аргументах запроса (url=http:// превращается в url=http:/)
и от этого происходит порча.  Не понимаю зачем кушать второй / там
(до знака вопроса - понимаю).

Свою проблему я, собственно, порешал через perl_set.
Кстати, а почему perl_set - server-context? Мне не жалко, конечно,
выполнить 3 строчки перла на каждый запрос, но хватило бы и
location-context


Алексей Тутубалин
mailto: lexa at lexa.ru
Web: http://www.lexa.ru/lexa 





More information about the nginx-ru mailing list