Tasuku SUENAGA
a****@razil*****
2009年 11月 9日 (月) 19:55:29 JST
これについては、仕様ということにしようかな、と思います。 ディレクトリトラバーサルさえ防げればいいかな…と。 Kouhei Sutou さんは書きました: > 須藤です。 > > --admin-html-pathで管理用HTMLのパスを指定できますが、 > "../../"などの相対パスで--admin-html-path外のファイルにアク > セスしようとしたときの挙動について質問です。 > > > 現在は、--admin-html-path外にでようとする".."を無視していま > すが、こうすると/../index.htmlでも/../../index.htmlでも > /index.htmlにアクセスできてしまいます。この挙動は意図したも > のでしょうか。 > > アクセスできない方が自然な感じがしています。が、Apacheも同じ > 挙動なんですよね。であれば、今の挙動でもよいのかも、という気 > もしてくるので質問しました。 --- tasuku
