Re: Вопрос про merge_slashes
Maxim Dounin
mdounin at mdounin.ru
Fri Apr 25 11:55:53 UTC 2014
Hello!
On Fri, Apr 25, 2014 at 03:37:34PM +0400, Михаил Монашёв wrote:
> Здравствуйте.
>
> В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes
> написано "Однако из соображений безопасности лучше избегать отключения преобразования."
>
> Что именно небезопасного может произойти при merge_slashes off;
>
> Поясню проблему. Сайт сильно спамят. Я настроил правило, которое
> смотрит лог и если происходит более Х обращений вроде
> POST /p/add_topic.cgi HTTP/1.1
> то ip считается подозрительным. Спамер это просёк и сейчас шлёт
> запросы вот такие:
> POST //p/add_topic.cgi HTTP/1.1"
>
> Я могу свою парсилку логов поправить, но и с директивой хотелось бы
> понять проблему.
Если отключить merge_slashes, то ограничения вида
location /p/ { allow 127.0.0.1; deny all; ... }
точно так же легко обходятся добавлением лишнего слеша.
--
Maxim Dounin
http://nginx.org/
Подробная информация о списке рассылки nginx-ru