OAuth2-Proxy - это инструмент с открытым исходным кодом, который может действовать как автономный обратный прокси или компонент промежуточн…

OAuth2-Proxy - это инструмент с открытым исходным кодом, который может действовать как автономный обратный прокси или компонент промежуточной программы, интегрированный в существующие настройки обратного прокси или балансира нагрузки. В версиях до 7.13.0 все развертывания OAuth2 Proxy перед приложениями, которые нормализуют выделения для тире в HTTP-заголовках (например, фреймворки на основе WSGI, такие как приложения Django, Flask, FastAPI и PHP). Аутентифицированные пользователи могут вводить подчеркнутые варианты заголовков X-Forwarded-*, которые обходят логику фильтрации прокси, потенциально усиливая привилегии в приложении upstream. Аутентификация/авторизация прокси-сервера OAuth2 сама по себе не скомпрометирована. Проблема была исправлена с v7.13.0. По умолчанию все указанные заголовки теперь будут нормализованы, что означает, что как капитализация, так и использование подчеркивания (_) против тире (-) будут проигнорированы при сопоставлении заголовков, которые будут сняты. Например, как `X-Forwarded-For`, так и `X_Forwarded-for` теперь будут рассматриваться как эквивалентные и удалены. Для тех, у кого есть рациональный, который требует сохранения аналогичного заголовка и не удаления его, сопровождающие ввели новое поле конфигурации для Headers, управляемое через AlphaConfig под названием «InsecureSkipHeaderNormalization». В качестве обходного пути убедитесь, что логика фильтрации и обработки в службах добычи не обрабатывают нижние стержни и дефисы в Headers одинаково.