Re: проксирование в мир

[David Mzareulyan]

> David Mzareulyan пишет:
> 
>> Хм. А что тут вообще можно говорить _о безопасности_?
>> 
>>> Привет
>>> 
>>> Что можете сказать по безопасности конструкции
>>> 
>>> location ^~ /remote {
>>> internal;
>>> x_accel_redirect off;
>>> rewrite /remote/([^/]+)  $1/  break; # добавляем в конец
>>> / для
>>> /remote/domain.com
>>> rewrite /remote/(.+)  $1  break;
>>> proxy_pass http://$uri?$args;
>>> }
>>> используемой в SSI
>>> <!--#include
>>> virtual="/remote/untrustedremotehost.com/sub/dir/file.php" -->
>>> error_page в /remote не заворачиваются
> о безопасности контента, раздаваемого nginx'ом из других location.
> Понятно, что инклудить удалённые непонятно чьи данные малоприятно, но
> это уже зона ответсвенности клиента, создающего инклуды. Можно
> пробовать пострипать тэги вроде frame, iframe, script через
> sub_filter, но это имхо не даст 100% уверенности.
> 

А что значит "безопасность контента, раздаваемого nginx'ом из других location"? 
Я реально не понимаю. Вы вставляете в страницу код из какого-то левого источника. 
Там реально может быть всё что угодно. При чём тут nginx и что Вам должен 
ответить Игорь? Вообще, безопасность КОГО имеется в виду -- клиента, серверовладельца...?

-- 
С уважением
Давид Мзареулян
david at hiero.ru