location / {
if (-f $request_filename) {
break;
}
if ($request_filename ~* "\.(js|ico|gif|jpe?g|bmp|png|css)$") {
break;
}
if (!-e $request_filename) {
rewrite . /index.php last;
}
}
在一个群里,有人发了一段这个配置,并且声称这段规则的 xss 问题比较严重。
在我的理解里, xss 只是和页面渲染有关,和 nginx 路由有啥关系呢。
之后我被告知对 xss 理解不够深刻,所以我想学习一下这段代码里面蕴含的哲学。
那位同学给了我一个文章链接让我学习,可惜我注册不了。 https://www.t00ls.net/thread-35911-1-1.html
1
qhxin OP 手动顶一下
|
2
SoloCompany 2017-01-29 01:14:15 +08:00
世界上最好的语言 has encountered an Access Violation at 031EACA2
|
3
qhxin OP @SoloCompany 这应该会是一个 500 响应,和 xss 有啥关系呢?
|
5
wdlth 2017-01-30 11:34:41 +08:00
应该是没过滤 URL 中的特殊字符导致 xss ,比如搜索时或者上传时,不过利用场景不多,还需要其他的条件辅助。
|