ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: erroneous characters after protocol string



Hello!

On Thu, Mar 21, 2013 at 12:02:52AM +0400, Михаил Монашёв wrote:

> Здравствуйте, Maxim.
> 
> >> К    апачу   запросы   проксирует   nginx,   у   которого   включён
> >> accept_filter=httpready  .  Я думал, что мусор до бэкенда пройти не
> >> может.  Но  как-то получилось, что кривые запросы пропустил сначала
> >> акцепт-фильтр,  а  затем  и nginx/1.3.11. Хочется понять, как такой
> >> запрос  прошёл  и  можно  ли  nginx-ом  прикрывать Апач от мусорных
> >> запросов?
> 
> > Accept-фильтр всё, что не понимает, пропускает, даже если это вообще
> > не  HTTP.  А  nginx  спокойно  относится к использованию в URI любых
> > не-специальных символов, особенно учитывая, что такие запросы вполне
> > встречаются в реальности.
> 
> И  пробел  в  урле  встречается?  Его  ж  на плюсик или %20 надо вроде
> заменять.  Парсить  такой запрос надо с двух сторон, чтобы понять, где
> границы урла.

Встречается, потому и был специально разрешён:
http://mailman.nginx.org/pipermail/nginx/2010-June/020878.html

> > Если хочется проверять - это всегда можно сделать явно.
> 
> Через перечисление всех возможных локейшнов и сбрасывания всего
> остального в location / { return 444;} ?

Location'ы, если ты хочешь проверять и аргументы запросов тоже, не 
помогут, даже при проверке точного совпадения.  А вот регулярное 
выражение, проверяющее $request, никто не мешает написать.

-- 
Maxim Dounin
http://nginx.org/en/donation.html

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.