根據Nginx官網所說：

Nginx 的安全限制可能會被某些請求給忽略，(CVE-2013-4547).

當我們通過例如下列方式進行URL 訪問限制的時候，如果攻擊者使用一些沒經過轉義的空格字符（無效的HTTP 協議，但從Nginx 0.8.41 開始因為考慮兼容性的問題予以支持）那麼這個限制可能無效：

location /protected/ {
        deny all;
    }
當請求的是”/foo /../protected/file” 這樣的URL (靜態文件，但foo 後面有一個空格結尾) 或者是如下的配置：

location ~ \.php$ {
        fastcgi_pass …
    }
當我們請求”/file \0.php” 時就會繞過限制。

該問題影響 nginx 0.8.41 – 1.5.6.

該問題已經在Nginx 1.5.7 和1.4.4 版本中修復。

所以大家趕快更新nginx吧！