F
fivebull

  • Joined Oct 15, 2013
  • On Tuesday, October 15, 2013 12:51:42 PM UTC+8, agentzh wrote:
    > Hello!
    > 
    > 
    > 
    > 2013/10/14  <fiv...@gmail.com>:
    > 
    > > 版本:openresty-1.4.2.8
    > 
    > > 现象:按照以上配置,访问/get/today只有JSON的输出,但XSS没有生效。
    > 
    > >
    > 
    > 
    > 
    > 检查你的响应的 Content-Type 头。ngx_xss 默认只会对带有 Content-Type: application/json
    > 
    > 头的响应作处理。如果你使用其他的 Content-Type 响应头的值,应当配置 xss_input_types
    > 
    > 配置指令(我上封邮件已经提到了)。
    > 
    > 
    > 
    > > 看过info级别 log,没提示关于XSS的任何错误信息。只有:using uninitialized "today" variable 的提示。
    > 
    > >
    > 
    > 
    > 
    > ngx_xss 的提示信息是 debug 级别的。请按我上封邮件的建议调用 debug 级别的调试日志。注意,启用调试日志,你需要使用
    > 
    > ./configure --with-debug 重新编译 openresty,同时在 nginx.conf 里面配置 error_log
    > 
    > logs/error.log debug.
    > 
    > 
    > 
    > Regards,
    > 
    > -agentzh
    
    已确认是xss_input_types的问题,需使用text/plain.
    
    疑问的是,rds_json出来的是text/plain?
    • On Tuesday, October 15, 2013 4:44:55 AM UTC+8, agentzh wrote:
      > Hello!
      > 
      > 
      > 
      > On Mon, Oct 14, 2013 at 1:52 AM,  <day...@gmail.com> wrote:
      > 
      > > 最初是使用echo_location的方式,但看到nginx_xss的readme,改成了使用lua的ngx.location.capture,但还是不行。
      > 
      > >
      > 
      > 
      > 
      > 1. 你应当具体说明“不行”的现象。简单的“不行”二字无法让我明白你的问题本身。
      > 
      > 
      > 
      > 2. 使用 ngx_xss 时的一个常见的错误是你没有正确配置 xss_input_types 指令。
      > 
      > 
      > 
      > 3. 一般地,你可以启用 nginx 的调试日志获得更多的诊断信息,见 http://nginx.org/en/docs/debugging_log.html
      > 
      > 
      > 
      > 另外,在报告问题时,希望能总是主动提供你使用的相关软件的版本(如果你使用的是 openresty 软件包,提供 openresty 的版本号即可) :)
      > 
      > 
      > 
      > Best regards,
      > 
      > -agentzh
      
      :) 下次会改正。
      
      版本:openresty-1.4.2.8
      现象:按照以上配置,访问/get/today只有JSON的输出,但XSS没有生效。
      
      看过info级别 log,没提示关于XSS的任何错误信息。只有:using uninitialized "today" variable 的提示。