Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: escape SSI echo

To: nginx-ru@xxxxxxxxx
Subject: Re: escape SSI echo
From: Валентин Бартенев <ne@xxxxxxxx>
Date: Wed, 27 Jun 2012 21:59:06 +0400
Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vbart.ru; s=mail; h=Message-Id:Content-Transfer-Encoding:Content-Type:MIME-Version:In-Reply-To:References:Date:Subject:To:From; bh=u6udd5KznhxWuM2SsHcCjMZy3NXIWzpmpZz7lbYFzg8=; b=EdLbaOtLv+mQcgtocBRJre2+LyTn27QUfvSmAsbGbijXj90b0Rqb5ZV2Ed9UtMm9zm9yUao/emIZX6kkYTSGGsckdO/Q5rrPQz/9mOS47gBS0m/5d7SJaZ5T/7c5N00Xsu/32rsW5NtsmaFs5SimjnOUIifqYUGpef9UzAYuS6ECBNEq3c4sBYErLieep3kUSXNxuaV/L7U+hJIh2EytsZPxJxLFpapeixCvOSl6zYUQtnsPHGgBn4dF6Ys8bFhCHtkn17+mmWgs8a6LfTmAgo8/wrGOcYUPoQX6s2ZSLK3m/HnRIjq22nJCsVQj2THHglC2pK5pwA2F3e9zEgyUsw==;
In-reply-to: <CANA9o+60tbb4wtp=4HXBztY-brz8MXM2nM2G2h26Ss4=GUHw7Q@mail.gmail.com>
References: <CANA9o+5P4ruLFPkrQ5LWVO20BRWwhdyyKZEW3=YEaz84du5uvw@mail.gmail.com> <201206271859.17593.ne@vbart.ru> <CANA9o+60tbb4wtp=4HXBztY-brz8MXM2nM2G2h26Ss4=GUHw7Q@mail.gmail.com>

On Wednesday 27 June 2012 20:57:28 Sergey Shepelev wrote:
> Только двойные кавычки и всё?

Да. И следить чтобы оно не превысило "ssi_value_length".

http://wiki.nginx.org/HttpSsiModule#ssi_value_length

--
Валентин Бартенев


> 2012/6/27 Валентин Бартенев <ne@xxxxxxxx>:
> > On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
> >> В долгом кеше лежит страница вида
> >> <html>
> >> ...
> >> <!--# include virtual="/foo" -->
> >> ...
> >> Hello, <!--# echo var="name" -->.
> >> Your motto:
> >> <div class=sig>
> >>   <!--# echo var="sig" -->
> >> </div>
> >> ...
> >> 
> >> 
> >> По /foo бекенд отдаёт набор SSI директив, типа
> >> <!--# set var="name" value="Peter" -->
> >> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
> >> 
> >> 
> >> Значения некоторых переменных задаются доверенными пользователями. То
> >> есть HTML допустим, защита от XSS административная. Что нужно
> >> эскейпить в переменных, чтобы они не сломали SSI директивы?
> > 
> > Кавычки \", если я правильно понял вопрос.
> > 
> > --
> > Валентин Бартенев
> > _______________________________________________
> > nginx-ru mailing list
> > nginx-ru@xxxxxxxxx
> > http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru

References:
- escape SSI echo
  - From: Sergey Shepelev
- Re: escape SSI echo
  - From: Валентин Бартенев
- Re: escape SSI echo
  - From: Sergey Shepelev

Prev by Date: h234 nginx streaming
Next by Date: Re: h234 nginx streaming
Previous by thread: Re: escape SSI echo
Next by thread: h234 nginx streaming
Index(es):
- Date
- Thread