Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
escape SSI echo
- To: nginx-ru <nginx-ru@xxxxxxxxx>
- Subject: escape SSI echo
- From: Sergey Shepelev <temotor@xxxxxxxxx>
- Date: Wed, 27 Jun 2012 18:41:26 +0400
- Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:date:message-id:subject:from:to:content-type :content-transfer-encoding; bh=qmeNXgC0y4cPG3jeujlNkXQQsBW20rW+0Sh4YyvUXak=; b=IUPnG1p/ii2LlVE4NtS+IzhV1zd0VCCX1BYV1qJtJbg+XN87UQD0u9PbrjEKgxx5JI RBbgFEgtyqbl2IKxOtEVueMKXAQl5vtiVMtPE0OoHJGEYKFdopRP6bO1a+0Cxjvo9Eln R+tkqNJc1tudYKUOWvWuiav35KxQlBxhZafr32pTFBV7IKqyvj+sfL42p4nLd9LpbTyh By8oTC7wjaG0k/EXgpu5X9h2gM4FkYcnfs1cQv8w03qxjqp2OAu+7KsVPnRveJIl9eCh IqiCtZLoD0eiA2yPc+xoreLeKnVTmhlpZP7VnXdSq888w8pgueOEyf+dw9VdmN6l91Mw ue0w==
В долгом кеше лежит страница вида
<html>
...
<!--# include virtual="/foo" -->
...
Hello, <!--# echo var="name" -->.
Your motto:
<div class=sig>
<!--# echo var="sig" -->
</div>
...
По /foo бекенд отдаёт набор SSI директив, типа
<!--# set var="name" value="Peter" -->
<!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
Значения некоторых переменных задаются доверенными пользователями. То
есть HTML допустим, защита от XSS административная. Что нужно
эскейпить в переменных, чтобы они не сломали SSI директивы?
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|