Maxim Dounin
April 23, 2019 08:40AM
Hello!

On Tue, Apr 23, 2019 at 04:59:38AM -0400, anatolr wrote:

> включаю debug как понять почему строку location не использует
>
> location: ~ "^(.*)/\<(.*)$" {
> return 404;
> }
>
> 2019/04/23 11:43:55 [debug] 2737#0: *23 test location: "/"
> 2019/04/23 11:43:55 [debug] 2737#0: *23 test location: "images/"
> 2019/04/23 11:43:55 [debug] 2737#0: *23 test location: ~ "^(.*)alert(.*)$"
> 2019/04/23 11:43:55 [debug] 2737#0: *23 test location: ~
> "^(.*)document(.*)$"
> 2019/04/23 11:43:55 [debug] 2737#0: *23 test location: ~ "\.php"
> 2019/04/23 11:43:55 [debug] 2737#0: *23 using configuration "\.php"

Когда речь идёт о location'ах, заданных регулярными выражениями -
используется первое совпавшее. В вашем случае это "location ~ \.php",
как ясно видно из debug log'а. Подробнее стоит почитать в
документации:

http://nginx.org/ru/docs/http/ngx_http_core_module.html#location

Отдельно отмечу, что location отвечает только за проверку
собственно URI запроса, без учёта аргументов. Соответственно
закрыть так наиболее типичные XSS-уязвимости - в аргументах
запроса - не получится, надо вместо этого использовать if'ы. И
там кроме этого - вылезет отдельная проблема с необходимостью
учитывать возможный URL encoding.

Но вообще, как вам уже совершенно верно сказали, подобный путь
решения проблем безопасности - крайне сомнителен.

--
Maxim Dounin
http://mdounin.ru/
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru
Subject Author Posted

специальные символы в запросах

anatolr April 23, 2019 02:57AM

Re: специальные символы в запросах

Vladimir Getmanshchuk April 23, 2019 03:54AM

Re: специальные символы в запросах

anatolr April 23, 2019 04:10AM

Re: специальные символы в запросах

anatolr April 23, 2019 04:48AM

Re: специальные символы в запросах

anatolr April 23, 2019 04:59AM

Re: специальные символы в запросах

Maxim Dounin April 23, 2019 08:40AM



Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 116
Record Number of Users: 6 on February 13, 2018
Record Number of Guests: 421 on December 02, 2018
Powered by nginx      Powered by FreeBSD      PHP Powered      Powered by MariaDB      ipv6 ready