NGINX SSI 모듈을보고 있는데 SSI의 "파일"옵션을 차단하는 방법이 있는지 궁금합니다.nginx SSI 모듈; 파일 포함 금지?
http://nginx.org/en/docs/http/ngx_http_ssi_module.html
는
<!--# include file="/etc/passwd" -->
내가 파일을 포함하는 관련 보안에 많이 찾을 수 없습니다이, 사람이에 대해 아는 않는 사람이하지 않도록?
우선, 이것이 발생하지 않는다는 것을 완전히 확신 할 수있는 유일한 방법은 루트가 아닌 사용자로 nginx를 실행하는 것입니다 (그렇게 할 다른 많은 이유가 있습니다. 그래서 이미).
또 다른 고려해야 할 점은 SSI는 일반적으로 CGI 스크립트와 마찬가지로 권한있는 코드로 처리되어야한다는 것입니다. 일반적으로 신뢰할 수없는 사용자는 허용하지 않습니다.
는 질문에 대한 대답은 그의 nginx 프로세스 ( source code) 동일하게file 및
uri 옵션을 치료하고
ngx_http_subrequest로 전달하여 SSI
include 지침입니다 말했다. 이는 주어진 파일에 대한 파일 요청을 처리하는 것과 본질적으로 동일합니다. 특히 현재 적용되는
root 지시문을 기준으로 이름이 확인된다는 점에서 다릅니다. 따라서 여전히
security considerations이 있지만 일반적으로 SSI 파서가 파일을 열어서 읽는 것보다 훨씬 안전합니다.