客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
最近一直在做location 配置,遇到优先级别问题(如果配置不当可能存在安全隐患哦),以下是个人学习一点体会。 一、 location 的匹配符 4.内部访问符:@ 二、匹配符优先级 2.1 等于匹配符与精确匹配时的空匹配符 看下面的例子(用到我们此前一起完成的Hello World模块): 复制代码 代码如下: location /poechant { hello_world no1; } location = /poechant { 如果我们的请求是http://my.domian/poechant,则我们发现两个location都与请求的 URI 匹配,这时根据我们的优先级顺序,第一个是精确匹配时的空匹配符,第二个是等于匹配符,所以第二个的优先级高,也就是应该输出: hello_world, no2 2.2 精确匹配时的空匹配符与正则匹配的^~ 下面这个例子中,两者开始都精确匹配了,连这个正则匹配都是精确匹配。 复制代码 代码如下: location ^~ ^/poechant$ { hello_world no1; } location /poechant { 匹配哪一个?你测试一下,会得到: hello_world, no2
1.location 匹配的优先级(来自实践总结中) 复制代码 代码如下: #1 location / { return 500; } #2 location /a/ { return 404; } #3 location ~* \.jpg$ { return 403; } #4 location ^~ /a/ { return 402; } #5 location /a/1.jpg { return 401; } #6 location = /a/1.jpg { return 400; } 说明:测试的时候,先要将#2全部注释掉,不然会认为#2 与#4 完全一样。会提示:重复配置,提示如下 复制代码 代码如下: D:\nginx-0.8.7>nginx -s reload [emerg]: duplicate location "/a/" in D:\nginx-0.8.7/conf/nginx.conf:53 浏览测试:每次都是访问:http://localhost:9999/a/1.jpg (在windows 安装测试,然后端口是9999) 文件a/1.jpg 根本不存在。关键是测试看页面返回情况。 a.用上面的配置请求后的结果 复制代码 代码如下: 400 Bad Request -------------------------------------------------------------------------------- nginx/0.8.7 从测试中可以看到,优先级最高的是:= 号。 它会最先匹配到。 b.接下来我们 屏蔽掉 #6 如下: 复制代码 代码如下: #6
# location = /a/1.jpg { # return 400; # } 然后重载配置:D:\nginx-0.8.7> nginx -s reload 并访问:http://localhost:9999/a/1.jpg ,返回以下结果: 复制代码 代码如下: 401 Authorization Required -------------------------------------------------------------------------------- nginx/0.8.7 结论:从这个测试发现,没有“=”情况下,location 后面直接接完整路径是优先匹配。 通过测试发现,如果将:location/a/1.jpg 改成:location /a/1\.jpg c.同理测试 屏蔽掉 #5 如下:注释及重新加载同上. 复制代码 代码如下: 402 Payment Required -------------------------------------------------------------------------------- nginx/0.8.7 结论:通过这个测试可以得出:location ^~ 优先级 高于 location ~* 优先级 ,其中:^~ 主要后面接路径。 c.同理测试 屏蔽掉 #4 如下:注释及重新加载同上. 复制代码 代码如下: 403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7 结论:从以上比较得到,正则优先 未带任何匹配符的路径匹配 d.同理测试 屏蔽掉 #3 如下:注释及重新加载同上. 并且去掉#2 的注释“#” 复制代码 代码如下: 404 Not Found -------------------------------------------------------------------------------- nginx/0.8.7 结论:比较有意思是:/a/ 与 / 应该是 同种类型的匹配表达式, 可以从中得到,该匹配顺序是,将路径从右匹配, 可以推测形如逐个字符,那个先匹配到,就是那个优先。 因此得到是:/a/ 优先于 / .
复制代码 代码如下: #以下是随便写例子,个人可能各不相同 #假设站点在:/home/www/html/目录下,所有的php 及上传文件都在这个目录下面。 location ~* \.php$ { proxy_pass http://www.a.com; } location /upload/ { 而且,这个upload 目录,是静态目录,我们想法是下面所有文件是不能够执行的,包括php文件。 那么我们怎么样修改呢? 复制代码 代码如下: location ~* \.php$ { proxy_pass http://www.a.com; } location ^~ /upload/ { alias /home/www/html/upload/; } 对,就是必须用:"^~" ,这样是不是就已经安全了呢。 如果你再访问下:http://www.a.com/upload/1.php 你会发现,这段代码源码显示出来了。 这个其实对于我们而言也是不想见到了。 一段显示源码,在各个搜索引擎,很容易通过所有特殊关键字,搜索到改文件的。 复制代码 代码如下: location ~* \.php$ { proxy_pass http://www.a.com; } location ^~ /upload/ { 只要不是满足上面扩展名文件,就自动提示:403 不能访问,有可以避免源代码显示。 复制代码 代码如下: location ~* \.jpg$ { return 402; } location ~* 1\.jpg$ { 结果如下: 复制代码 代码如下: 402 Payment Required -------------------------------------------------------------------------------- nginx/0.8.7 看来是返回的是:402 上面一个呢。 按理论说,1.jpg 配置 比 .jpg 更准确,看来跟上面说的顺序不同,那它会不会是那个在前以那个匹配呢? 我们再测试下: 复制代码 代码如下: location ~* 1\.jpg$ { return 403; } location ~* \.jpg$ { 返回结果是: 复制代码 代码如下: 403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7 哈哈,恰好相反,看来我的推断是正确的,如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。 一口气说了,不知道朋友你,明白我的思路吗?这样的比较会很多很多,大家可以逐一测试。 熟悉location 配置,对于熟练运用nginx 是一个必备基础。 因为nginx 太灵活,也太流行了。上面的问题,也许朋友你,会遇到。希望对你有帮助。 |
请发表评论