安全
所有 nginx 安全问题应报告至 F5SIRT@f5.com 或通过此处列出的任一方法。
补丁使用 PGP 公钥之一进行签名。
特别注意事项
njs 不以任何方式评估动态代码,特别是从网络接收的代码。使用 njs 评估该代码的唯一方法是在 nginx 中配置 js_import 指令。JavaScript 代码在 nginx 启动期间加载一次。
在 nginx/njs 威胁模型中,JavaScript 代码被视为受信任的来源,就像 nginx.conf 和站点证书一样。这在实践中意味着
- 由 JavaScript 代码修改触发的内存泄露及其他安全问题不被视为安全问题,而是普通错误
- 应采取措施保护 njs 使用的 JavaScript 代码
- 如果
nginx.conf中没有 js_import 指令,则 nginx 不会受到与 JavaScript 相关的漏洞影响