> >Так как URL-и мы в данном месте получаем снаружи, то для
> >редиректора мы их на всякий случай эскейпим целиком (а не только
> >).
> >И, соответственно, хочется целиком их разворачивать.
>
> Делать unescape всего и вся нельзя. Сейчас nginx раскрывает только символы
> в пределах 0x26 - 0x7E, остальные не трогает. Сделано это прежде всего
> для запрещения XSS, когда в URL вставляют %0D и %0A.
Я, честно говоря, не есть понимай. Ну, допустим, мне в редиректор
снаружи нальют таких символов. Я сделаю редирект куда-то. Ну
и что ?
> Я склоняюсь к мысли, что нужно раскрывать в переделах 0x21-%7E вместе
> с query strting. %25 при этом будет превращатся в '%'.
Да, вполне нормально.
Вообще, я бы не эскейпил ничего в url=, но кое-кто кушает второй
slash и в аргументах запроса (url=http:// превращается в url=http:/)
и от этого происходит порча. Не понимаю зачем кушать второй / там
(до знака вопроса - понимаю).
Свою проблему я, собственно, порешал через perl_set.
Кстати, а почему perl_set - server-context? Мне не жалко, конечно,
выполнить 3 строчки перла на каждый запрос, но хватило бы и
location-context
Алексей Тутубалин
mailto: lexa@xxxxxxx
Web:
