ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: проксирование в м ир



David Mzareulyan пишет:
David Mzareulyan пишет:

Хм. А что тут вообще можно говорить _о безопасности_?

Привет

Что можете сказать по безопасности конструкции

location ^~ /remote {
internal;
x_accel_redirect off;
rewrite /remote/([^/]+)  $1/  break; # добавляем в конец
/ для
/remote/domain.com
rewrite /remote/(.+)  $1  break;
proxy_pass http://$uri?$args;
}
используемой в SSI
<!--#include
virtual="/remote/untrustedremotehost.com/sub/dir/file.php" -->
error_page в /remote не заворачиваются
о безопасности контента, раздаваемого nginx'ом из других location.
Понятно, что инклудить удалённые непонятно чьи данные малоприятно, но
это уже зона ответсвенности клиента, создающего инклуды. Можно
пробовать пострипать тэги вроде frame, iframe, script через
sub_filter, но это имхо не даст 100% уверенности.


А что значит "безопасность контента, раздаваемого nginx'ом из других location"? Я реально не понимаю.

я не хочу, чтобы код из левого источника выдал nginx'у x-accel-redirect, и nginx отдал другой файл вместо кода левого источника.
 Вы вставляете в страницу код из
какого-то левого источника. Там реально может быть всё что угодно. При чём тут nginx и что Вам должен ответить Игорь?
уже ответил, что при выключенном XAR nginx не будет ничего делать с ответом левого источника.
 Вообще, безопасность КОГО
имеется в виду -- клиента, серверовладельца...?
например контента других internal location, на которые код из левого источника может выдать XAR. Либо XAR на этот же location для создания рекурсии.




 




Copyright © Lexa Software, 1996-2009.