fastcgi_param HTTP_PROXY ""; es la solución, pero ¿por qué no mencionaron también HTTPS_PROXY? Tengo un sitio web HTTPS, no HTTP.
¿También debo agregar fastcgi_param HTTPS_PROXY ""; o no?
Deja de cambiar el título.
Incluso si falta el contexto, creo que se refiere a la vulnerabilidad enlace donde es posible que un atacante remoto configure el entorno HTTP_PROXY variable utilizando un encabezado HTTP Proxy . La base de esta vulnerabilidad es que en un entorno CGI, la variable de entorno HTTP_xxx se establece si existe el encabezado HTTP xxx . Como esto solo afecta a las variables HTTP_* y no a las variables HTTPS_* , no afecta a las variables HTTPS_PROXY .
Además de que tanto HTTP_PROXY como HTTPS_PROXY solo son relevantes para las solicitudes realizadas por el script CGI y no están relacionadas con la forma en que se accede a su sitio.
Lea otras preguntas en las etiquetas vulnerability tls nginx httpoxy