ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: proxy cache key и fastcgi cache key



On Friday 10 January 2014 14:06:43 Gena Makhomed wrote:
> On 10.01.2014 13:45, Gena Makhomed wrote:
> >>>> Кому интересно почитать, подробней вот ссылка.
> >>>> http://habrahabr.ru/post/166855/
> 
> Хотя, есть и более простой вариант,
> как на стороне nginx закрыть эту уязвимость с $http_host.
> 
> $host
> in this order of precedence: host name from the request line, or host
> name from the ?Host? request header field, or the server name matching a
> request
> 
> Eсли в request line оказывается одно значение $host,
> а в ?Host? request header field оказывается другое значение,
> тогда просто возвращать 400 Bad Request, поскольку от нормального
> клиента (браузера и т.п.) такой запрос никакогда придти не может.
> 
> Это формально правильный способ, но менее удобный для разработчиков,
> потому что вполне может быть такой вариант, что это default server
> и запрос придет вообще без заголовка Host: - тогда в HTTP_HOST
> будет пусто и backend скорее всего нормально не отработает.
[..]

Единственный правильный способ: пойти в IETF с предложением исправить 
соответствующие RFC, которые в том числе оговаривают, что следует делать
при получении нескольких заголовков Host, ну а потом уже сюда.

--
Валентин Бартенев
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.