V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
yadam
V2EX  ›  问与答

nginx 配置 rewrite 直接读文件的安全性问题

  •  
  •   yadam · 2015-08-10 15:20:55 +08:00 · 1452 次点击
    这是一个创建于 3420 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在ngingx下面添加了如下的配置

    if ($request_uri ~* "/foo\?bar=(.*)") {
        rewrite .* $1.json? permanent;
    }
    

    目的是读取特定目录下 bar.json 的文件
    我自己认为配置中加了 json 后缀, 就不会有遍历问题, 但心里不踏实

    google了 nginx Directory traversal attack 没找到有效信息,
    nginx security 关键字看到下面两篇比较好的文章,但是还是没有帮到
    Nginx Security – The definitive Guide to secure your Nginx server
    Nginx Pitfalls

    请教:
    1. 这个配置是否有文件遍历的危险?
    2. 能否给一些nginx安全相关的文档?

    2 条回复    2015-08-11 15:10:01 +08:00
    invite
        1
    invite  
       2015-08-11 10:15:48 +08:00   ❤️ 1
    问:既然要搞成静态json文件,为什么URI不能直接写成静态的?用看似动态的干嘛?
    yadam
        2
    yadam  
    OP
       2015-08-11 15:10:01 +08:00
    @invite
    需求方是这么要求的, 因为后面bar的值会很多, 可能会使用php或者什么动态响应, 现在搭的临时测试环境.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1307 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 17:45 · PVG 01:45 · LAX 09:45 · JFK 12:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.