複雑な URI の処理
DisableDotDotRule パラメータは、Web エージェントが、スラッシュ(/)で区切られた 2 つのドットを含む URI を自動的に許可するかどうかを判別します。
casso11jp
DisableDotDotRule パラメータは、Web エージェントが、スラッシュ(/)で区切られた 2 つのドットを含む URI を自動的に許可するかどうかを判別します。
デフォルト:
NoDisableDotDotRule が yes に設定されている場合、エージェントは二重ドット ルールを適用
しません
。たとえば、以下の URI を考えます。- /dir1/app.pl/file1.gifWeb エージェントは、IgnoreExt パラメータを使用して、リソースを自動許可するかどうかを判別します。
- /dir1/okay.button.gifエージェントはこの URI を無視できます。これは、2 つのドットはスラッシュ(/)で区切られていないためです。二重ドット ルールは、この場合は適用されません。
DisableDotDotRule が no に設定されていると(デフォルト)、Web エージェントは二重ドット ルールを
適用
します。Web エージェントは以下の URI に対する要求の認証を要求し、要求をポリシー サーバに渡します。- /dir1/app.pl/file1.gifこの URI は二重ドット ルールに当てはまります。これは、2 つのドットはスラッシュで区切られているためです。Web サーバは、/dir1/app.pl をターゲット リソースと見なし、/file1.gif を追加のパス情報と見なすことができます(一般に、このパス情報は、CGI ヘッダで PATH_INFO として表示可能です)。
- /dir1/okay.button.gifエージェントはこの URI を無視することができます。これは、二重ドット ルールは実施されているのに、2 つのドットがスラッシュ(/)で区切られていないため、ルールが適用されないからです。
重要:
IgnoreExt パラメータおよび DisableDotDotRule パラメータを併用する場合は、許可されていないアクセスが発生しないようにしてください。たとえば、/dir1/app.pl の保護が必要であるにもかかわらず、DisableDotDotRule パラメータを yes に設定すると、エージェントは URI /dir1/app.pl/file1.gif を無視します。これは、二重ドット ルールを無効にし、.gif を IgnoreExt パラメータに含めたためです。その結果、許可されていないユーザが保護されたアプリケーション /dir1/app.pl にアクセスできるようになります。