HTTPoxy-HTTPoxyの脆弱性に対処する場合、HTTPS_PROXYはどうですか?
fastcgi_param HTTP_PROXY "";は解決策ですが、なぜ彼らはHTTPS_PROXYについても言及しなかったのでしょうか。 HTTPではなくHTTPSのWebサイトを持っています。
fastcgi_param HTTPS_PROXY "";も追加する必要がありますか?
タイトルの変更をやめます。
コンテキストが欠落している場合でも、リモートの攻撃者がHTTP Proxyヘッダーを使用してHTTP_PROXY環境変数を設定する可能性がある httpoxy 脆弱性を参照していると思います。この脆弱性の根底にあるのは、CGI環境では、HTTPヘッダーxxxが存在する場合、HTTP_xxx環境変数が設定されることです。これはHTTP_*変数にのみ影響し、HTTPS_*変数には影響しないため、HTTPS_PROXYには影響しません。
それとは別に、HTTP_PROXYとHTTPS_PROXYはどちらも、CGIスクリプトによって実行された要求にのみ関連し、サイトへのアクセス方法とは関係ありません。