проксирование в мир

Alex Vorona voron at amhost.net
Mon Apr 21 17:16:43 MSD 2008


David Mzareulyan пишет:
>> David Mzareulyan пишет:
>>
>>> Хм. А что тут вообще можно говорить _о безопасности_?
>>>
>>>> Привет
>>>>
>>>> Что можете сказать по безопасности конструкции
>>>>
>>>> location ^~ /remote {
>>>> internal;
>>>> x_accel_redirect off;
>>>> rewrite /remote/([^/]+)  $1/  break; # добавляем в конец
>>>> / для
>>>> /remote/domain.com
>>>> rewrite /remote/(.+)  $1  break;
>>>> proxy_pass http://$uri?$args;
>>>> }
>>>> используемой в SSI
>>>> <!--#include
>>>> virtual="/remote/untrustedremotehost.com/sub/dir/file.php" -->
>>>> error_page в /remote не заворачиваются
>> о безопасности контента, раздаваемого nginx'ом из других location.
>> Понятно, что инклудить удалённые непонятно чьи данные малоприятно, но
>> это уже зона ответсвенности клиента, создающего инклуды. Можно
>> пробовать пострипать тэги вроде frame, iframe, script через
>> sub_filter, но это имхо не даст 100% уверенности.
>>
> 
> А что значит "безопасность контента, раздаваемого nginx'ом из других 
> location"? Я реально не понимаю.

я не хочу, чтобы код из левого источника выдал nginx'у x-accel-redirect, и nginx 
  отдал другой файл вместо кода левого источника.
  Вы вставляете в страницу код из
> какого-то левого источника. Там реально может быть всё что угодно. При 
> чём тут nginx и что Вам должен ответить Игорь?
уже ответил, что при выключенном XAR nginx не будет ничего делать с ответом 
левого источника.
  Вообще, безопасность КОГО
> имеется в виду -- клиента, серверовладельца...?
например контента других internal location, на которые код из левого источника 
может выдать XAR. Либо XAR на этот же location для создания рекурсии.






More information about the nginx-ru mailing list