ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: проксирование в м ир



David Mzareulyan пишет:
Хм. А что тут вообще можно говорить _о безопасности_?

Привет

Что можете сказать по безопасности конструкции

location ^~ /remote {
internal;
x_accel_redirect off;
rewrite /remote/([^/]+)  $1/  break; # добавляем в конец
/ для
/remote/domain.com
rewrite /remote/(.+)  $1  break;
proxy_pass http://$uri?$args;
}
используемой в SSI
<!--#include
virtual="/remote/untrustedremotehost.com/sub/dir/file.php" -->
error_page в /remote не заворачиваются



о безопасности контента, раздаваемого nginx'ом из других location. Понятно, что инклудить удалённые непонятно чьи данные малоприятно, но это уже зона ответсвенности клиента, создающего инклуды. Можно пробовать пострипать тэги вроде frame, iframe, script через sub_filter, но это имхо не даст 100% уверенности.



 




Copyright © Lexa Software, 1996-2009.