nginx-0.4.4

Tue Oct 3 08:22:44 MSD 2006

On Tue, 3 Oct 2006, Михаил Монашёв wrote:

> IS> Ну  вообще-то  PUT  нужно  разрешать только с доверенных адресов с
> IS> помощью
>
> IS>     limit_expect GET {
> IS>         ...
>
> Поднимите руки, кто написал в конфиге:
> limit_expect PUT {

В переводе с английсого это звучит так - ограничить всё, кроме PUT.
То есть, PUT разрешить.

>   deny all;
> }
> ?
> Или это по умолчанию так включено?
>
> Ведь   если   не  включено,  то  сейчас  PUT-ом  можно  покилять  кучу
> веб-серверов :-(
>
> Игорь, а какие вообще методы поддерживаются nginx-ом? Мне, и думаю что
> большинству  тоже,  вполне  достаточно GET, POST и HEAD. Хочется знать
> весь список, чтобы запретить остальные методы.
>
> И  как  эти методы запретить для всего сервера? Сейчас, судя по докам,
> limit_except работает только для location.
>
> Сорри, если чересчур паникую.

PUT'ом можно залить мусором сервер, а DELETE'ом удалить файлы.
Поэтому они разрешаются, только если собран
http://sysoev.ru/nginx/docs/http/ngx_http_dav_module.html
который по умолчанию не собирается, и явно разршены методы
dav_methods  PUT DELETE MKCOL;

Без этого не будет ни PUT'а, ни segfault'а.

Игорь Сысоев
http://sysoev.ru