проксирование в мир
Alex Vorona
voron at amhost.net
Mon Apr 21 17:16:43 MSD 2008
David Mzareulyan пишет:
>> David Mzareulyan пишет:
>>
>>> Хм. А что тут вообще можно говорить _о безопасности_?
>>>
>>>> Привет
>>>>
>>>> Что можете сказать по безопасности конструкции
>>>>
>>>> location ^~ /remote {
>>>> internal;
>>>> x_accel_redirect off;
>>>> rewrite /remote/([^/]+) $1/ break; # добавляем в конец
>>>> / для
>>>> /remote/domain.com
>>>> rewrite /remote/(.+) $1 break;
>>>> proxy_pass http://$uri?$args;
>>>> }
>>>> используемой в SSI
>>>> <!--#include
>>>> virtual="/remote/untrustedremotehost.com/sub/dir/file.php" -->
>>>> error_page в /remote не заворачиваются
>> о безопасности контента, раздаваемого nginx'ом из других location.
>> Понятно, что инклудить удалённые непонятно чьи данные малоприятно, но
>> это уже зона ответсвенности клиента, создающего инклуды. Можно
>> пробовать пострипать тэги вроде frame, iframe, script через
>> sub_filter, но это имхо не даст 100% уверенности.
>>
>
> А что значит "безопасность контента, раздаваемого nginx'ом из других
> location"? Я реально не понимаю.
я не хочу, чтобы код из левого источника выдал nginx'у x-accel-redirect, и nginx
отдал другой файл вместо кода левого источника.
Вы вставляете в страницу код из
> какого-то левого источника. Там реально может быть всё что угодно. При
> чём тут nginx и что Вам должен ответить Игорь?
уже ответил, что при выключенном XAR nginx не будет ничего делать с ответом
левого источника.
Вообще, безопасность КОГО
> имеется в виду -- клиента, серверовладельца...?
например контента других internal location, на которые код из левого источника
может выдать XAR. Либо XAR на этот же location для создания рекурсии.
More information about the nginx-ru
mailing list