V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
qhxin
V2EX  ›  问与答

请问这段 nginx 的配置有 xss 风险吗?

  •  1
     
  •   qhxin · 2017-01-28 23:26:06 +08:00 · 1763 次点击
    这是一个创建于 2883 天前的主题,其中的信息可能已经有所发展或是发生改变。
    location / {
        if (-f $request_filename) {
               break;
        }
        if ($request_filename ~* "\.(js|ico|gif|jpe?g|bmp|png|css)$") {
            break;
        }
        if (!-e $request_filename) {
            rewrite . /index.php last;
        }
    }
    
    

    在一个群里,有人发了一段这个配置,并且声称这段规则的 xss 问题比较严重。

    在我的理解里, xss 只是和页面渲染有关,和 nginx 路由有啥关系呢。

    之后我被告知对 xss 理解不够深刻,所以我想学习一下这段代码里面蕴含的哲学。

    那位同学给了我一个文章链接让我学习,可惜我注册不了。 https://www.t00ls.net/thread-35911-1-1.html

    6 条回复    2017-01-30 11:38:18 +08:00
    qhxin
        1
    qhxin  
    OP
       2017-01-28 23:46:25 +08:00
    手动顶一下
    SoloCompany
        2
    SoloCompany  
       2017-01-29 01:14:15 +08:00
    世界上最好的语言 has encountered an Access Violation at 031EACA2
    qhxin
        3
    qhxin  
    OP
       2017-01-29 07:37:03 +08:00 via Android
    @SoloCompany 这应该会是一个 500 响应,和 xss 有啥关系呢?
    lslqtz
        4
    lslqtz  
       2017-01-29 08:14:11 +08:00 via iPhone
    @qhxin 有 500 就没有 xss 问题了...
    wdlth
        5
    wdlth  
       2017-01-30 11:34:41 +08:00
    应该是没过滤 URL 中的特殊字符导致 xss ,比如搜索时或者上传时,不过利用场景不多,还需要其他的条件辅助。
    qhxin
        6
    qhxin  
    OP
       2017-01-30 11:38:18 +08:00 via Android
    @wdlth 所以其实这个并不是直接原因,还是得在页面渲染处理吧,最多是个反射型嘛
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2779 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 12:36 · PVG 20:36 · LAX 04:36 · JFK 07:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.