escape SSI echo

Валентин Бартенев ne на vbart.ru
Ср Июн 27 17:59:06 UTC 2012


On Wednesday 27 June 2012 20:57:28 Sergey Shepelev wrote:
> Только двойные кавычки и всё?

Да. И следить чтобы оно не превысило "ssi_value_length".

http://wiki.nginx.org/HttpSsiModule#ssi_value_length

--
Валентин Бартенев


> 2012/6/27 Валентин Бартенев <ne на vbart.ru>:
> > On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
> >> В долгом кеше лежит страница вида
> >> <html>
> >> ...
> >> <!--# include virtual="/foo" -->
> >> ...
> >> Hello, <!--# echo var="name" -->.
> >> Your motto:
> >> <div class=sig>
> >>   <!--# echo var="sig" -->
> >> </div>
> >> ...
> >> 
> >> 
> >> По /foo бекенд отдаёт набор SSI директив, типа
> >> <!--# set var="name" value="Peter" -->
> >> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
> >> 
> >> 
> >> Значения некоторых переменных задаются доверенными пользователями. То
> >> есть HTML допустим, защита от XSS административная. Что нужно
> >> эскейпить в переменных, чтобы они не сломали SSI директивы?
> > 
> > Кавычки \", если я правильно понял вопрос.
> > 
> > --
> > Валентин Бартенев
> > _______________________________________________
> > nginx-ru mailing list
> > nginx-ru на nginx.org
> > http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru на nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru


Подробная информация о списке рассылки nginx-ru