xss_input_types
Директива xss_input_types определяет, какие MIME-типы обрабатывать для поддержки межсайтового скриптинга в NGINX.
Описание
Директива xss_input_types настраивает сервер NGINX так, чтобы он обрабатывал только ответы с указанными MIME-типами при обработке межсайтовых AJAX-запросов. Директива принимает один или несколько аргументов типа MIME и применяется в контекстах http, server, location и if in location. Это критически важная функция в рамках поддержки межсайтовых AJAX-запросов, позволяющая реализовывать функциональность JSONP за счёт того, что для модификации скриптов учитываются только определённые типы содержимого. По умолчанию модуль включает application/json как распознаваемый входной тип, что позволяет ему обрабатывать ответы, специально предназначенные для JSONP, при этом игнорируя другие типы, которые могут быть непригодны для этой цели.
Пример конфига
server {
location /foo {
xss_get on;
xss_input_types application/json text/plain;
}
}Убедитесь, что вы указываете корректные MIME types; опечатки приведут к тому, что директива не будет работать как ожидается.
Не забудьте включить все требуемые MIME types; если вы исключите необходимый тип, корректные ответы могут быть проигнорированы.