Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: escape SSI echo
- To: nginx-ru@xxxxxxxxx
- Subject: Re: escape SSI echo
- From: Валентин Бартенев <ne@xxxxxxxx>
- Date: Wed, 27 Jun 2012 18:59:17 +0400
- Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vbart.ru; s=mail; h=Message-Id:Content-Transfer-Encoding:Content-Type:MIME-Version:In-Reply-To:References:Date:Subject:To:From; bh=j0ecv+txU443n27XheW5pN4VqVlUqmuDDVgXh63H8tA=; b=qG0j5IPBNMoqromnryBQf4mmZMW0idW1p1zostZELbt/zrslGqvqJwWUFVPK6e5xmTc9rBhwBXgdtmrXCZy+xZMT1Yeqjm+xm6v2PvtgXfY1RfeSEXw70kynvi6EhEepjl8SNg6L4YMuKID0rlWC4XZ9jYltGRsoDdScqEtZhqGJK3V0vtONdhyy2gdUZhfwcMyRDByrPw4MJpXGdqgeHhe6kvoKvKUxc8hy6KUgDO+1d03GHiQdhJROZCmdD54nfl+93CbG2M4CB/FxTsXaanPrGucDSKUmR4+a56/pyKwdiDvfyTxaDE2W8ZEMVKTEwFpZkk70vMjlg0EAGVjH9A==;
- In-reply-to: <CANA9o+5P4ruLFPkrQ5LWVO20BRWwhdyyKZEW3=YEaz84du5uvw@mail.gmail.com>
- References: <CANA9o+5P4ruLFPkrQ5LWVO20BRWwhdyyKZEW3=YEaz84du5uvw@mail.gmail.com>
On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
> В долгом кеше лежит страница вида
> <html>
> ...
> <!--# include virtual="/foo" -->
> ...
> Hello, <!--# echo var="name" -->.
> Your motto:
> <div class=sig>
> <!--# echo var="sig" -->
> </div>
> ...
>
>
> По /foo бекенд отдаёт набор SSI директив, типа
> <!--# set var="name" value="Peter" -->
> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
>
>
> Значения некоторых переменных задаются доверенными пользователями. То
> есть HTML допустим, защита от XSS административная. Что нужно
> эскейпить в переменных, чтобы они не сломали SSI директивы?
Кавычки \", если я правильно понял вопрос.
--
Валентин Бартенев
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|