И помните, дети, если вы делаете наколеночный сервер статики, никогда не забывайте проверить нормализованный путь на относительность к корню сайта...
-
И помните, дети, если вы делаете наколеночный сервер статики, никогда не забывайте проверить нормализованный путь на относительность к корню сайта...
(я только что пофиксила такую уязвимость в своём наколеночном сервере статики. Повезло что он был там где до него вряд-ли добрались скраперы, да и в контейнере)
-
И помните, дети, если вы делаете наколеночный сервер статики, никогда не забывайте проверить нормализованный путь на относительность к корню сайта...
(я только что пофиксила такую уязвимость в своём наколеночном сервере статики. Повезло что он был там где до него вряд-ли добрались скраперы, да и в контейнере)
-
@tyx это было проще, чем разбираться как настроить нормальный реверс прокси чтобы он отдавал на CGI только index, а остальное не отдавал %)
(а ещё это было для гемини, а не http)
-
@tyx это было проще, чем разбираться как настроить нормальный реверс прокси чтобы он отдавал на CGI только index, а остальное не отдавал %)
(а ещё это было для гемини, а не http)
@mo
"Мсье знает толк в извращениях"(с)
Если серьёзно, то это как-то грустно, что в каждом новом вело^W протоколе разрабы будут собирать все те же грабли, вместо того, чтобы переиспользовать вылизанный до блеска как в плане безопасности, так и в плане производительности код массовых тулов типа nginx. -
@mo
"Мсье знает толк в извращениях"(с)
Если серьёзно, то это как-то грустно, что в каждом новом вело^W протоколе разрабы будут собирать все те же грабли, вместо того, чтобы переиспользовать вылизанный до блеска как в плане безопасности, так и в плане производительности код массовых тулов типа nginx. -
-
-
