Re: X-Accel-Redirect и uri escape
Rommer
rommer at active.by
Fri Nov 29 20:17:23 UTC 2013
Hello,
Максим, этот пачт может решить проблему?
Или все-таки на этот раз тоже неверный подход к решению?
On 11/26/13 08:22, Роман Шишнев wrote:
> Hello,
>
> Забыл проверить "%00", апдейт тут:
> http://pastebin.com/raw.php?i=cFsthQEi
>
> On 11/26/2013 08:09 AM, Роман Шишнев wrote:
>> Hello,
>>
>> Не влез патч в рассылку. Повторюсь.
>>
>> Хотел обойтись малой кровью Но раз ssi и dav туда-же,
>> то вот мой следующий опус:
>> http://pastebin.com/raw.php?i=CPBwq7xY
>>
>> Надеюсь, на этот раз в нужном направлении.
>>
>> Заодно закроется бага с редиректом "../blablabla"
>> которая считалась safe.
>>
>> P.S. это едиственный coding style?
>> http://wiki.nginx.org/CodingStyle
>>
>> On 11/26/2013 02:35 AM, Maxim Dounin wrote:
>>> Hello!
>>>
>>> On Tue, Nov 26, 2013 at 01:47:36AM +0300, Роман Шишнев wrote:
>>>
>>>> Hello,
>>>>
>>>> Тогда всё проще и вот так.
>>>
>>> Совершенно точно нет. Проверить, разескейпить, потом ещё раз
>>> проверить - это совсем не тот подход, которым следует
>>> пользоваться. Не говоря уже о том, что ssi и dav это не лечит.
>>>
>>> Перечитайте ещё раз то, что уже было написано по данному вопросу.
>>> Тикет, всё-таки, не совсем бесполезен, там по ссылкам есть review
>>> предыдущих попыток.
>>>
>>> http://trac.nginx.org/nginx/ticket/316
>>>
>>>> P.S. зачем flags в ngx_http_parse_unsafe_uri()
>>>> передается по ссылке?
>>>
>>> Исходно этот параметр использовался для возврата флагов, в
>>> частности - NGX_HTTP_ZERO_IN_URI:
>>>
>>> http://hg.nginx.org/nginx/diff/58475592100c/src/http/ngx_http_parse.c
>>>
>>> С тех пор флаг NGX_HTTP_ZERO_IN_URI упразднили, но интерфейс
>>> остался.
>>>
>>
>
Подробная информация о списке рассылки nginx-ru