IS> Ну вообще-то PUT нужно разрешать только с доверенных адресов с
IS> помощью
IS> limit_expect GET {
IS> ...
Поднимите руки, кто написал в конфиге:
limit_expect PUT {
В переводе с английсого это звучит так - ограничить всё, кроме PUT.
То есть, PUT разрешить.
deny all;
}
?
Или это по умолчанию так включено?
Ведь если не включено, то сейчас PUT-ом можно покилять кучу
веб-серверов :-(
Игорь, а какие вообще методы поддерживаются nginx-ом? Мне, и думаю что
большинству тоже, вполне достаточно GET, POST и HEAD. Хочется знать
весь список, чтобы запретить остальные методы.
И как эти методы запретить для всего сервера? Сейчас, судя по докам,
limit_except работает только для location.
Сорри, если чересчур паникую.
PUT'ом можно залить мусором сервер, а DELETE'ом удалить файлы.
Поэтому они разрешаются, только если собран
который по умолчанию не собирается, и явно разршены методы
dav_methods PUT DELETE MKCOL;
Без этого не будет ни PUT'а, ни segfault'а.
Игорь Сысоев
