fastcgi_param HTTP_PROXY "";
es la solución, pero ¿por qué no mencionaron también HTTPS_PROXY? Tengo un sitio web HTTPS, no HTTP.
¿También debo agregar fastcgi_param HTTPS_PROXY "";
o no?
Deja de cambiar el título.
Incluso si falta el contexto, creo que se refiere a la vulnerabilidad enlace donde es posible que un atacante remoto configure el entorno HTTP_PROXY variable utilizando un encabezado HTTP Proxy
. La base de esta vulnerabilidad es que en un entorno CGI, la variable de entorno HTTP_xxx
se establece si existe el encabezado HTTP xxx
. Como esto solo afecta a las variables HTTP_*
y no a las variables HTTPS_*
, no afecta a las variables HTTPS_PROXY
.
Además de que tanto HTTP_PROXY
como HTTPS_PROXY
solo son relevantes para las solicitudes realizadas por el script CGI y no están relacionadas con la forma en que se accede a su sitio.
Lea otras preguntas en las etiquetas vulnerability tls nginx httpoxy