خب دوست عزیز این که ربطی به NGINX نداره . شما اگه mime type ها رو درست ست کنی و خود ورد پرس هدر فایل ها رو و نه فقط پسوند رو چک کنه شما هیچوقت به این مشکل نمیخوری . در ضمن Nginx انقدر ماژول امنتی واسه این چیزا زیاد داره . اگه همچین مشکلی از nginx بود الان تو کل سایت های خبری و ... ازش حرف میزدن و سریع هم update اش میومد . پس نمیشه به این حرف شما که نمیدونم بر چه پایه و اساس علمی هست تکیه کرد .