ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: escape SSI echo


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: escape SSI echo
  • From: Валентин Бартенев <ne@xxxxxxxx>
  • Date: Wed, 27 Jun 2012 21:59:06 +0400
  • Dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=vbart.ru; s=mail; h=Message-Id:Content-Transfer-Encoding:Content-Type:MIME-Version:In-Reply-To:References:Date:Subject:To:From; bh=u6udd5KznhxWuM2SsHcCjMZy3NXIWzpmpZz7lbYFzg8=; b=EdLbaOtLv+mQcgtocBRJre2+LyTn27QUfvSmAsbGbijXj90b0Rqb5ZV2Ed9UtMm9zm9yUao/emIZX6kkYTSGGsckdO/Q5rrPQz/9mOS47gBS0m/5d7SJaZ5T/7c5N00Xsu/32rsW5NtsmaFs5SimjnOUIifqYUGpef9UzAYuS6ECBNEq3c4sBYErLieep3kUSXNxuaV/L7U+hJIh2EytsZPxJxLFpapeixCvOSl6zYUQtnsPHGgBn4dF6Ys8bFhCHtkn17+mmWgs8a6LfTmAgo8/wrGOcYUPoQX6s2ZSLK3m/HnRIjq22nJCsVQj2THHglC2pK5pwA2F3e9zEgyUsw==;
  • In-reply-to: <CANA9o+60tbb4wtp=4HXBztY-brz8MXM2nM2G2h26Ss4=GUHw7Q@mail.gmail.com>
  • References: <CANA9o+5P4ruLFPkrQ5LWVO20BRWwhdyyKZEW3=YEaz84du5uvw@mail.gmail.com> <201206271859.17593.ne@vbart.ru> <CANA9o+60tbb4wtp=4HXBztY-brz8MXM2nM2G2h26Ss4=GUHw7Q@mail.gmail.com>

On Wednesday 27 June 2012 20:57:28 Sergey Shepelev wrote:
> Только двойные кавычки и всё?

Да. И следить чтобы оно не превысило "ssi_value_length".

http://wiki.nginx.org/HttpSsiModule#ssi_value_length

--
Валентин Бартенев


> 2012/6/27 Валентин Бартенев <ne@xxxxxxxx>:
> > On Wednesday 27 June 2012 18:41:26 Sergey Shepelev wrote:
> >> В долгом кеше лежит страница вида
> >> <html>
> >> ...
> >> <!--# include virtual="/foo" -->
> >> ...
> >> Hello, <!--# echo var="name" -->.
> >> Your motto:
> >> <div class=sig>
> >>   <!--# echo var="sig" -->
> >> </div>
> >> ...
> >> 
> >> 
> >> По /foo бекенд отдаёт набор SSI директив, типа
> >> <!--# set var="name" value="Peter" -->
> >> <!--# set var="sig" value="This page is restricted. <p>xxx</p>" -->
> >> 
> >> 
> >> Значения некоторых переменных задаются доверенными пользователями. То
> >> есть HTML допустим, защита от XSS административная. Что нужно
> >> эскейпить в переменных, чтобы они не сломали SSI директивы?
> > 
> > Кавычки \", если я правильно понял вопрос.
> > 
> > --
> > Валентин Бартенев
> > _______________________________________________
> > nginx-ru mailing list
> > nginx-ru@xxxxxxxxx
> > http://mailman.nginx.org/mailman/listinfo/nginx-ru
> 
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@xxxxxxxxx
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.