gtd*_*gtd 2 security rack ruby-on-rails nginx owasp
有许多安全原因导致人们想要删除没有响应的HTTP连接(例如,OWASP的SSL最佳实践).如果可以在服务器级别检测到这些,那么这没什么大不了的.但是,如果您只能在应用程序级别检测到这种情况呢?
Rails,或者更普遍的Rack,是否有任何标准方法告诉服务器在没有响应的情况下断开连接?如果没有,是否有一些标准的标题可以在常见的Web服务器中实现(我在想Nginx或Apache)?即使没有标准头,是否有合理的方法来配置该行为?这是傻瓜的差事吗?
Nginx有一个这样的机制.当您返回特殊状态代码444(它是非标准的)时,Nginx会静默地断开连接.只有当您从Nginx配置返回此代码时才会发生这种情况,例如
location = /drop {
return 444;
}
并且您无法从应用程序返回此状态代码.解决方法是X-Accel-Redirect: /drop从应用程序返回标头以告知/drop此请求的Nginx使用位置.
| 归档时间: |
|
| 查看次数: |
898 次 |
| 最近记录: |