Re: Об одной малоизвестной уязвимости в веб сайтах

[S.A.N]

Gena Makhomed Wrote:
-------------------------------------------------------
> 
> и да, отвечать с 400 статусом тут даже более логично,
> потому что если authority component в строке запроса
> и в заголовке Host: разные - это явно попытка взлома.
> 

Я так же считаю, что 400 статус в этом случаи должен быть.
Если Nginx реализует эту логику, думаю проблем с обратной совместимостью не
будет, вот если не реализует выдачу 400 статуса и оставить все как есть
проблемы возможны на стороне бекенда.

Не понятная позиция Nginx в нежелании реализовать данную логику.

Posted at Nginx Forum: http://forum.nginx.org/read.php?21,246086,250821#msg-250821