Re: Об одной малоизвестной уязвимости в веб сайтах
Валентин Бартенев
vbart at nginx.com
Wed Jun 11 10:42:14 UTC 2014
On Wednesday 11 June 2014 13:30:12 Gena Makhomed wrote:
> On 10.01.2014 15:07, Валентин Бартенев wrote:
> >>>>>> http://habrahabr.ru/post/166855/
> >
> > Единственный правильный способ: пойти в IETF с предложением исправить
> > соответствующие RFC, которые в том числе оговаривают, что следует делать
> > при получении нескольких заголовков Host, ну а потом уже сюда.
>
> http://tools.ietf.org/html/rfc7230#section-5.4
>
> When a proxy receives a request with an absolute-form of
> request-target, the proxy MUST ignore the received Host header field
> (if any) and instead replace it with the host information of the
> request-target. A proxy that forwards such a request MUST generate a
> new Host field-value based on the received request-target rather than
> forward the received Host field-value.
>
> Referer: http://www.opennet.ru/opennews/art.shtml?num=39956
Не очень понятно, а что хотели сказать этой цитатой?
Так, на всякий случай, nginx не является "proxy" согласно терминологии того
же RFC 7230.
--
Валентин Бартенев
Подробная информация о списке рассылки nginx-ru