

[1] http_proxy は、 http: URL の処理に使われるべきを指定する環境変数です。


  1. 変数名
  2. URL scheme
  3. userinfo
  4. ポート
  5. no_proxy
  6. Proxy: ヘッダー
  7. テストデータ
  8. 実装


[13] 他の多くの環境変数がすべて大文字で綴られるのに対し、 http_proxy小文字なのは、 CGI 環境変数 HTTP_PROXY との混同を避けるためです。

[14] HTTPProxy: ヘッダーは (現時点では) 存在しないので通常の要求の処理ではそのような環境変数が設定されることはありませんが、 悪意あるクライアントProxy: ヘッダーを指定することで任意のホストを指定できてしまうとセキュリティー上の問題となります。 (大文字の環境変数が設定された状態で大文字の環境変数を参照するライブラリーの類を呼び出したり、 大文字の環境変数を参照する外部のプログラムを起動したりすると、 その動作が影響を受けることになります。)

[15] 中には現在でもこのような状況を想定せずに HTTP_PROXY を使うプログラムや、大文字と小文字の両方を使うプログラムが存在しているようです。

[16] HTTP鯖アプリケーション鯖、あるいは Webアプリケーションの実装は、 そのようなライブラリープログラムを呼び出すことが無いように注意しなければなりません。

[40] プラットフォームによっては、環境変数名の大文字小文字を区別しません。 そのため大文字小文字で同じ値が得られる場合に無視する実装もあります。 更には、そのような環境での利用も想定した CGI_HTTP_PROXY 環境変数に対応した実装もあります (が普及はしていないようです)。

[17] CGI を使うことが少なくなった現在でも、 HTTP鯖の内部的な利用や CGI とある程度の互換性を持ったWebアプリケーション動作環境等が CGI と同等の環境変数を設定することがあります。


[12] 値が設定される場合、ホスト (ホスト名:ポートを連結した文字列) となることが期待されているようです。

URL scheme#

[30] curl は先頭が http://https:// でなければ、 URL scheme の省略とみなすようです。それ以外だと : が含まれていても userinfo の一部とみなしたりします。

[32] curlhttp_proxyhttps:// を指定しても 素のHTTPで接続するようです。

[33] wget: 以外 + :// で始まると URL とみなし、 : 以外 + : + // 以外で始まると UnixFTP の指定 (: の前までがホスト名) とみなすようです。 http:hogeftp://hoge/ になります。

[2] 古い LWPlocalhost:12345 のように scheme が明示されていないと localhost:URL scheme とみなしてしまいます。 http://localhost:12345 のようにすれば回避できます。


[34] URL scheme が省略された場合も含め、userinfoプロキシ認証利用者名合言葉を指定できます。


[31] wget80curl1080既定のポート番号とするようです。


[35] wgetcurl も、 no_proxy での指定は、 URLホストとの比較になります。 URLホスト名前解決したら no_proxy に指定されたIPアドレスに一致するとしても、 プロキシを使わない理由にはしません。

Proxy: ヘッダー#

[42] Proxy: ヘッダーは、 CGIメタ変数 HTTP_PROXY に対応するHTTPヘッダーです。

[43] このヘッダーの正当な用法は存在しないとみられます。 HTTP_PROXY 環境変数脆弱性を突く目的で用いられることがあります。


[55] 構文解析のテストデータ:


