Re: X-Accel-Redirect и uri escape
Роман Шишнев
rommer at active.by
Tue Nov 26 05:09:11 UTC 2013
Hello,
Не влез патч в рассылку. Повторюсь.
Хотел обойтись малой кровью Но раз ssi и dav туда-же,
то вот мой следующий опус:
http://pastebin.com/raw.php?i=CPBwq7xY
Надеюсь, на этот раз в нужном направлении.
Заодно закроется бага с редиректом "../blablabla"
которая считалась safe.
P.S. это едиственный coding style?
http://wiki.nginx.org/CodingStyle
On 11/26/2013 02:35 AM, Maxim Dounin wrote:
> Hello!
>
> On Tue, Nov 26, 2013 at 01:47:36AM +0300, Роман Шишнев wrote:
>
>> Hello,
>>
>> Тогда всё проще и вот так.
>
> Совершенно точно нет. Проверить, разескейпить, потом ещё раз
> проверить - это совсем не тот подход, которым следует
> пользоваться. Не говоря уже о том, что ssi и dav это не лечит.
>
> Перечитайте ещё раз то, что уже было написано по данному вопросу.
> Тикет, всё-таки, не совсем бесполезен, там по ссылкам есть review
> предыдущих попыток.
>
> http://trac.nginx.org/nginx/ticket/316
>
>> P.S. зачем flags в ngx_http_parse_unsafe_uri()
>> передается по ссылке?
>
> Исходно этот параметр использовался для возврата флагов, в
> частности - NGX_HTTP_ZERO_IN_URI:
>
> http://hg.nginx.org/nginx/diff/58475592100c/src/http/ngx_http_parse.c
>
> С тех пор флаг NGX_HTTP_ZERO_IN_URI упразднили, но интерфейс
> остался.
>
--
С уважением,
Роман Шишнёв,
CTO | ActiveCloud | http://www.active.by
Т +375 17 2 911 511 доб. 308 | rommer at active.by
Облачные решения | Серверы и инфраструктура | IaaS | SaaS | Хостинг
Подробная информация о списке рассылки nginx-ru