Так как URL-и мы в данном месте получаем снаружи, то для
редиректора мы их на всякий случай эскейпим целиком (а не только
).
И, соответственно, хочется целиком их разворачивать.
Делать unescape всего и вся нельзя. Сейчас nginx раскрывает только символы
в пределах 0x26 - 0x7E, остальные не трогает. Сделано это прежде всего
для запрещения XSS, когда в URL вставляют %0D и %0A.
Я, честно говоря, не есть понимай. Ну, допустим, мне в редиректор
снаружи нальют таких символов. Я сделаю редирект куда-то. Ну
и что ?
Некто ставит ссылку на хорошо известный сайт, назовём его example.com,
у которого есть редиректор /click, в таком виде:
<javascript>тра-ля-ля...
Пользователь тыкает во вроде бы безопасную ссылку и все куки пользователя
для example.com попадают в javascript. Ну и вообще, от имени example.com
можно делать пользователю всякие странные предложения.
Я склоняюсь к мысли, что нужно раскрывать в переделах 0x21-%7E вместе
с query strting. %25 при этом будет превращатся в '%'.
Да, вполне нормально.
Вообще, я бы не эскейпил ничего в url=, но кое-кто кушает второй
slash и в аргументах запроса (url=http:// превращается в url=http:/)
и от этого происходит порча. Не понимаю зачем кушать второй / там
(до знака вопроса - понимаю).
В аргументах ничего кушаться не должно.
Свою проблему я, собственно, порешал через perl_set.
Кстати, а почему perl_set - server-context? Мне не жалко, конечно,
выполнить 3 строчки перла на каждый запрос, но хватило бы и
location-context
Все переменные задаются на уровне http. Но nginx - не Апач, переменные
вычисляются только on demand, и перл будет выполняться только в том
location'е, где это действительно нужно:
Игорь Сысоев
