0
據到Apache的錯誤追蹤系統,B標誌固定在2.2.9版 https://issues.apache.org/bugzilla/show_bug.cgi?id=45529使用mod_rewrite B標誌安全嗎?
如何安全是它使用這個B標誌?如果我將它包含在我們的軟件的下一個版本中,我可以放心,大多數主機可以正常工作嗎?
據到Apache的錯誤追蹤系統,B標誌固定在2.2.9版 https://issues.apache.org/bugzilla/show_bug.cgi?id=45529使用mod_rewrite B標誌安全嗎?
如何安全是它使用這個B標誌?如果我將它包含在我們的軟件的下一個版本中,我可以放心,大多數主機可以正常工作嗎?
評估RewriteRule時,URL未轉義,即轉義序列%XX
,其中X
是十六進制字符,轉換爲實際字符。
B
可以肯定的是,在重寫的URL中,反向引用會被轉義,無論是最初的轉義還是最初的轉義。這在查詢字符串中特別重要,它允許數據中的字符數少於URL的路徑部分(除?
之外)。
在此錯誤中,B
無法轉義某些字符,即它的行爲好像沒有指定B
標誌。所以,雖然B
標誌是越野車是一個問題,但它並沒有比不使用它更糟糕。
你可以通過PATH_INFO而不是查詢字符串來解決它,通過腳本傳遞數據,但是這需要改變腳本。