安全
所有 Nginx 安全问题应报告至 [email protected] 或通过此处列出的方法之一 此处。
补丁使用 PGP 公钥之一进行签名。
特殊注意事项
njs 不会以任何方式评估动态代码,尤其是从网络接收的代码。使用 njs 评估该代码的唯一方法是在 nginx 中配置 js_import 指令。JavaScript 代码在 nginx 启动期间加载一次。
在 nginx/njs 的威胁模型中,JavaScript 代码被视为受信任的来源,与 nginx.conf 和站点证书相同。这在实践中意味着什么
- 由 JavaScript 代码修改触发的内存泄漏和其他安全问题不被视为安全问题,而被视为普通错误
- 应采取措施保护 njs 使用的 JavaScript 代码
- 如果
nginx.conf中不存在 js_import 指令,则 nginx 免受与 JavaScript 相关的漏洞的影响