ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: X-Accel-Redirect и uri escape



Hello,

Не влез патч в рассылку. Повторюсь.

Хотел обойтись малой кровью Но раз ssi и dav туда-же,
то вот мой следующий опус:
http://pastebin.com/raw.php?i=CPBwq7xY

Надеюсь, на этот раз в нужном направлении.

Заодно закроется бага с редиректом "../blablabla"
которая считалась safe.

P.S. это едиственный coding style?
http://wiki.nginx.org/CodingStyle

On 11/26/2013 02:35 AM, Maxim Dounin wrote:
Hello!

On Tue, Nov 26, 2013 at 01:47:36AM +0300, Роман Шишнев wrote:

Hello,

Тогда всё проще и вот так.

Совершенно точно нет.  Проверить, разескейпить, потом ещё раз
проверить - это совсем не тот подход, которым следует
пользоваться.  Не говоря уже о том, что ssi и dav это не лечит.

Перечитайте ещё раз то, что уже было написано по данному вопросу.
Тикет, всё-таки, не совсем бесполезен, там по ссылкам есть review
предыдущих попыток.

http://trac.nginx.org/nginx/ticket/316

P.S. зачем flags в ngx_http_parse_unsafe_uri()
передается по ссылке?

Исходно этот параметр использовался для возврата флагов, в
частности - NGX_HTTP_ZERO_IN_URI:

http://hg.nginx.org/nginx/diff/58475592100c/src/http/ngx_http_parse.c

С тех пор флаг NGX_HTTP_ZERO_IN_URI упразднили, но интерфейс
остался.


--
С уважением,
Роман Шишнёв,
CTO | ActiveCloud | http://www.active.by
Т +375 17 2 911 511 доб. 308 | rommer@xxxxxxxxx
Облачные решения | Серверы и инфраструктура | IaaS | SaaS | Хостинг

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.