Есть два набора серверов, настроенные практически идентично. Первый - production, второй - тестовый.
Production: server1(nginx:80) proxy_pass--> server2(nginx:80 proxy_pass--> php-fpm:unix)
Test: server1(nginx:80 proxy_pass--> nginx:8080 proxy_pass--> php-fpm:unix)
Проверяю в php-скрипте переменную сервера request_uri и в первом случае, вставив в путь
"/><script>alert(123);</script>
получаю в этой переменной %22/%3E%3Cscript%3Ealert%28123%29;%3C/script%3E
а во втором "/><script>alert(123);</script>
Может ли это быть связанным с nginx, почему в первом случае url кодируется, а во втором нет?