Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: escape SSI echo
- To: nginx-ru@xxxxxxxxx
- Subject: Re: escape SSI echo
- From: Валентин Бартенев <ne@xxxxxxxx>
- Date: Wed, 27 Jun 2012 21:59:06 +0400
- Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vbart.ru; s=mail; h=Message-Id:Content-Transfer-Encoding:Content-Type:MIME-Version:In-Reply-To:References:Date:Subject:To:From; bh=u6udd5KznhxWuM2SsHcCjMZy3NXIWzpmpZz7lbYFzg8=; b=EdLbaOtLv+mQcgtocBRJre2+LyTn27QUfvSmAsbGbijXj90b0Rqb5ZV2Ed9UtMm9zm9yUao/emIZX6kkYTSGGsckdO/Q5rrPQz/9mOS47gBS0m/5d7SJaZ5T/7c5N00Xsu/32rsW5NtsmaFs5SimjnOUIifqYUGpef9UzAYuS6ECBNEq3c4sBYErLieep3kUSXNxuaV/L7U+hJIh2EytsZPxJxLFpapeixCvOSl6zYUQtnsPHGgBn4dF6Ys8bFhCHtkn17+mmWgs8a6LfTmAgo8/wrGOcYUPoQX6s2ZSLK3m/HnRIjq22nJCsVQj2THHglC2pK5pwA2F3e9zEgyUsw==;
- In-reply-to: <CANA9o+60tbb4wtp=4HXBztY-brz8MXM2nM2G2h26Ss4=GUHw7Q@mail.gmail.com>
- References: <CANA9o+5P4ruLFPkrQ5LWVO20BRWwhdyyKZEW3=YEaz84du5uvw@mail.gmail.com> <201206271859.17593.ne@vbart.ru> <CANA9o+60tbb4wtp=4HXBztY-brz8MXM2nM2G2h26Ss4=GUHw7Q@mail.gmail.com>
On Wednesday 27 June 2012 20:57:28 Sergey Shepelev wrote:
> Только двойные кавычки и всё?
Да. И следить чтобы оно не превысило "ssi_value_length".
http://wiki.nginx.org/HttpSsiModule#ssi_value_length
--
Валентин Бартенев
> 2012/6/27 Валентин Бартенев <ne@xxxxxxxx>:
> > On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
> >> В долгом кеше лежит страница вида
> >> <html>
> >> ...
> >> <!--# include virtual="/foo" -->
> >> ...
> >> Hello, <!--# echo var="name" -->.
> >> Your motto:
> >> <div class=sig>
> >> <!--# echo var="sig" -->
> >> </div>
> >> ...
> >>
> >>
> >> По /foo бекенд отдаёт набор SSI директив, типа
> >> <!--# set var="name" value="Peter" -->
> >> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
> >>
> >>
> >> Значения некоторых переменных задаются доверенными пользователями. То
> >> есть HTML допустим, защита от XSS административная. Что нужно
> >> эскейпить в переменных, чтобы они не сломали SSI директивы?
> >
> > Кавычки \", если я правильно понял вопрос.
> >
> > --
> > Валентин Бартенев
> > _______________________________________________
> > nginx-ru mailing list
> > nginx-ru@xxxxxxxxx
> > http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
|