escape SSI echo

Sergey Shepelev temotor на gmail.com
Ср Июн 27 14:41:26 UTC 2012


В долгом кеше лежит страница вида
<html>
...
<!--# include virtual="/foo" -->
...
Hello, <!--# echo var="name" -->.
Your motto:
<div class=sig>
  <!--# echo var="sig" -->
</div>
...


По /foo бекенд отдаёт набор SSI директив, типа
<!--# set var="name" value="Peter" -->
<!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->


Значения некоторых переменных задаются доверенными пользователями. То
есть HTML допустим, защита от XSS административная. Что нужно
эскейпить в переменных, чтобы они не сломали SSI директивы?


Подробная информация о списке рассылки nginx-ru