ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: escape SSI echo


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: escape SSI echo
  • From: Sergey Shepelev <temotor@xxxxxxxxx>
  • Date: Wed, 27 Jun 2012 20:57:28 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=20120113; h=mime-version:in-reply-to:references:date:message-id:subject:from:to :content-type:content-transfer-encoding; bh=xjZnwglsqP561mPFTlbDkGElnRjK/dOF8pxNYCy7nII=; b=snpvVXddwvuKD7Ss3YZ01D3JJ8gtlP69HN9/Hc74JV99FThyJbyhfOd8MWuu+gRwoa zQ98YBkGY7iT7qQB7maS5LW/qdbDgPYcJZ/aCqdjJn1gVAGsA+EZQsMf5uwTIE2UXtBF 2pLMogvucz5X1oiC1r7HrITEmpTQZe4hOLfTBsgqENciPFSHijAVfvxPqP+8TY7b9Bha UbGQzkBolS0VG2snWRMtvqlHL+yEONptkEN6eUjAVD6TIVNFzv2bCuGRg3DDd5IDpgPf y+g2IpMA706T4F4RNYHD5gWPzHLXrftS+DkKA5joP5dntfYhcWG3+YZ5Wy2hDR2EgH/n 9rjQ==
  • In-reply-to: <201206271859.17593.ne@vbart.ru>
  • References: <CANA9o+5P4ruLFPkrQ5LWVO20BRWwhdyyKZEW3=YEaz84du5uvw@mail.gmail.com> <201206271859.17593.ne@vbart.ru>

Только двойные кавычки и всё?

2012/6/27 Валентин Бартенев <ne@xxxxxxxx>:
> On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
>> В долгом кеше лежит страница вида
>> <html>
>> ...
>> <!--# include virtual="/foo" -->
>> ...
>> Hello, <!--# echo var="name" -->.
>> Your motto:
>> <div class=sig>
>>   <!--# echo var="sig" -->
>> </div>
>> ...
>>
>>
>> По /foo бекенд отдаёт набор SSI директив, типа
>> <!--# set var="name" value="Peter" -->
>> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
>>
>>
>> Значения некоторых переменных задаются доверенными пользователями. То
>> есть HTML допустим, защита от XSS административная. Что нужно
>> эскейпить в переменных, чтобы они не сломали SSI директивы?
>
>
> Кавычки \", если я правильно понял вопрос.
>
> --
> Валентин Бартенев
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.