Hello! On Fri, Apr 25, 2014 at 03:37:34PM +0400, Михаил Монашёв wrote:
> Здравствуйте. > > В доке http://nginx.org/ru/docs/http/ngx_http_core_module.html#merge_slashes > написано "Однако из соображений безопасности лучше избегать отключения > преобразования." > > Что именно небезопасного может произойти при merge_slashes off; > > Поясню проблему. Сайт сильно спамят. Я настроил правило, которое > смотрит лог и если происходит более Х обращений вроде > POST /p/add_topic.cgi HTTP/1.1 > то ip считается подозрительным. Спамер это просёк и сейчас шлёт > запросы вот такие: > POST //p/add_topic.cgi HTTP/1.1" > > Я могу свою парсилку логов поправить, но и с директивой хотелось бы > понять проблему. Если отключить merge_slashes, то ограничения вида location /p/ { allow 127.0.0.1; deny all; ... } точно так же легко обходятся добавлением лишнего слеша. -- Maxim Dounin http://nginx.org/ _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
