ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

escape SSI echo


  • To: nginx-ru <nginx-ru@xxxxxxxxx>
  • Subject: escape SSI echo
  • From: Sergey Shepelev <temotor@xxxxxxxxx>
  • Date: Wed, 27 Jun 2012 18:41:26 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=qmeNXgC0y4cPG3jeujlNkXQQsBW20rW+0Sh4YyvUXak=; b=IUPnG1p/ii2LlVE4NtS+IzhV1zd0VCCX1BYV1qJtJbg+XN87UQD0u9PbrjEKgxx5JI RBbgFEgtyqbl2IKxOtEVueMKXAQl5vtiVMtPE0OoHJGEYKFdopRP6bO1a+0Cxjvo9Eln R+tkqNJc1tudYKUOWvWuiav35KxQlBxhZafr32pTFBV7IKqyvj+sfL42p4nLd9LpbTyh By8oTC7wjaG0k/EXgpu5X9h2gM4FkYcnfs1cQv8w03qxjqp2OAu+7KsVPnRveJIl9eCh IqiCtZLoD0eiA2yPc+xoreLeKnVTmhlpZP7VnXdSq888w8pgueOEyf+dw9VdmN6l91Mw ue0w==

В долгом кеше лежит страница вида
<html>
...
<!--# include virtual="/foo" -->
...
Hello, <!--# echo var="name" -->.
Your motto:
<div class=sig>
  <!--# echo var="sig" -->
</div>
...


По /foo бекенд отдаёт набор SSI директив, типа
<!--# set var="name" value="Peter" -->
<!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->


Значения некоторых переменных задаются доверенными пользователями. То
есть HTML допустим, защита от XSS административная. Что нужно
эскейпить в переменных, чтобы они не сломали SSI директивы?
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.