запрет редиректа на внешний ресурс
Alex F
phoedos16 на gmail.com
Чт Май 6 19:58:48 UTC 2021
Здравствуйте!
nginx 1.19.3 1.20.0
есть следующая конфигурация сервера
*mysite.org.ssl.conf*
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
server_name mysite.org;
access_log /var/log/nginx/mysite.org/access.log extended;
error_log /var/log/nginx/mysite.org/error.log;
ssl_certificate "/etc/letsencrypt/live/mysite.org/fullchain.pem";
ssl_certificate_key "/etc/letsencrypt/live/mysite.org/privkey.pem";
include ssl_config;
location / {
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection 'upgrade';
proxy_set_header Host $host;
proxy_set_header Connection "Keep-Alive";
proxy_set_header Proxy-Connection "Keep-Alive";
proxy_connect_timeout 7200s;
proxy_read_timeout 7200s;
proxy_send_timeout 7200s;
client_max_body_size 7M;
proxy_pass http://mysite.backend.local:80;
}
}
нашел потенциальный фишинговый кейс, если клиент перейдет по ссылке типа
https://*mysite.org//example.org <http://mysite.org//example.org>*
nginx сделает 301 редирект на сайт злоумышленника (example.org) даже не
переходя на апстрим /
GET ///example.org/ HTTP/2.0 301 291 219 "-" "useragent" "-" 0.000 - -
подскажите, как контролировать подобные кейсы, запретив переход по на
сторонний ресурс ?
----------- следущая часть -----------
Вложение в формате HTML было извлечено…
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20210507/feee39c8/attachment.htm>
Подробная информация о списке рассылки nginx-ru