Re: проксирование в м ир

[Alex Vorona <voron@xxxxxxxxxx>]

David Mzareulyan пишет:
> > David Mzareulyan пишет:
> >
> > > Хм. А что тут вообще можно говорить _о безопасности_?
> > >
> > > > Привет
> > > >
> > > > Что можете сказать по безопасности конструкции
> > > >
> > > > location ^~ /remote {
> > > > internal;
> > > > x_accel_redirect off;
> > > > rewrite /remote/([^/]+)  $1/  break; # добавляем в конец
> > > > / для
> > > > /remote/domain.com
> > > > rewrite /remote/(.+)  $1  break;
> > > > proxy_pass http://$uri?$args;
> > > > }
> > > > используемой в SSI
> > > > <!--#include
> > > > virtual="/remote/untrustedremotehost.com/sub/dir/file.php" -->
> > > > error_page в /remote не заворачиваются
> > о безопасности контента, раздаваемого nginx'ом из других location.
> > Понятно, что инклудить удалённые непонятно чьи данные малоприятно, но
> > это уже зона ответсвенности клиента, создающего инклуды. Можно
> > пробовать пострипать тэги вроде frame, iframe, script через
> > sub_filter, но это имхо не даст 100% уверенности.
> А что значит "безопасность контента, раздаваемого nginx'ом из других 
> location"? Я реально не понимаю.
я не хочу, чтобы код из левого источника выдал nginx'у x-accel-redirect, и nginx 
 отдал другой файл вместо кода левого источника.
 Вы вставляете в страницу код из
> какого-то левого источника. Там реально может быть всё что угодно. При 
> чём тут nginx и что Вам должен ответить Игорь?
уже ответил, что при выключенном XAR nginx не будет ничего делать с ответом 
левого источника.
 Вообще, безопасность КОГО
> имеется в виду -- клиента, серверовладельца...?
например контента других internal location, на которые код из левого источника 
может выдать XAR. Либо XAR на этот же location для создания рекурсии.