`
moqiang02
  • 浏览: 556662 次
  • 性别: Icon_minigender_1
  • 来自: 苏州
文章分类
社区版块
存档分类
最新评论

nginx location 配置阐述优先级别使用说明

 
阅读更多

 使用nginx 有大半年了,它的高性能,稳定性表现很好。 这里也得到很多人的认可。 其中它的配置,有点像写程序一样,每行命令结尾一个";"号,语句块用"{}"括起来。 配制好,直接nginx -t 检查配制情况,配制成功,直接运行:service nginx reload .服务器没有任何宕机情况下,实现平稳修改配置。

  最近一直在做location 配制时候,遇到小麻烦,以下是个人学习一点体会。

  1.location 匹配的优先级(来自实践总结中)

  (location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)

只要匹配到,其它的都会忽略,然后返回到改匹配。

  用以下例子来测试:

复制代码
#1 6 location / { 7 return 500; 8 } 9 10 #2 11 location /a/ { 12 return 404; 13 } 14 15 #3 16 location ~* \.jpg$ { 17 return 403; 18 } 19 20 #4 21 location ^~ /a/ { 22 return 402; 23 } 24 25 #5 26 location /a/1.jpg { 27 return 401; 28 } 29 30 #6 31 location = /a/1.jpg { 32 return 400; 33 } 34
复制代码

说明测试时候:先要将#2全部注释掉,不然会认为#2 与#4 完全一样。会提示:重复配制

D:\nginx-0.8.7>nginx -s reload [emerg]: duplicate location "/a/" in D:\nginx-0.8.7/conf/nginx.conf:53

首先测试:每次都是访问:http://localhost:9999/a/1.jpg(在windows 安装测试,然后端口是9999) 文件a/1.jpg 根本不存在。关键是测试看页面返回情况。

a.

400 Bad Request -------------------------------------------------------------------------------- nginx/0.8.7

(图一)

从测试中可以看到,优先级最高的是:= 号。 它会最先匹配到。

b.接下来我们 屏蔽掉 #6 如下:

#6 # location = /a/1.jpg { # return 400; # }

然后在:D:\nginx-0.8.7> nginx -s reload 访问:http://localhost:9999/a/1.jpg

401 Authorization Required -------------------------------------------------------------------------------- nginx/0.8.7

图(2-2)

注意:从这个测试 发现 :没有“=”情况下,location 后面直接接完整路径是优先匹配。 通过测试发现,如果将:location /a/1.jpg 改成:location /a/1\.jpg

会出现意外情况,直接出现是:return 402. 从这一点,可以推测到nginx 匹配优先是:网站路径,并且不带正则表达式的优先。

以上是本人通过测试,推测得到,如有问题,欢迎指正。

c.同理测试 屏蔽掉 #5 如下:注释及重新加载同上.

复制代码
#5 # location /a/1.jpg { # return 401; # }

访问:http://localhost:9999/a/1.jpg返回如下结果。


402 Payment Required

--------------------------------------------------------------------------------

nginx/0.8.7
复制代码

通过这个测试可以得出:location ^~ 优先级 高于 location ~* 优先级 ,其中:^~ 主要后面接路径。

c.同理测试 屏蔽掉 #4 如下:注释及重新加载同上.

复制代码
#4 # location ^~ /a/ { # return 402; # }

访问:http://localhost:9999/a/1.jpg返回如下结果。

403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7
复制代码

从以上比较得到:正则优先 未带任何批评符 的路径匹配

d.同理测试 屏蔽掉 #3 如下:注释及重新加载同上. 并且去掉#2 的注释“#”

复制代码
#2 location /a/ { return 404; }

访问:http://localhost:9999/a/1.jpg返回如下结果。

404 Not Found -------------------------------------------------------------------------------- nginx/0.8.7
复制代码

比较有意思是:/a/ 与 / 应该是 同种类型的匹配表达式, 可以从中得到,该匹配顺序是,将路径从右匹配, 可以推测形如逐个字符,那个先匹配到,就是那个优先。 因此得到是:/a/ 优先于 / .


以上测试,是我测试结果,优先级别以以上规律。 在实际我们书写中,经常会犯错误。 还记得前段时间:80后安全团队曝nginx漏洞其实,个人认为不能算是nginx 漏洞,只是,我们不了解nginx 配制规则,而出现一个配置上面致命漏洞而已。 其实,通过上面优先级,我们在配置时候可能也一样经常犯一个致命错误。

复制代码
#以下是随便写例子,个人可能各不相同 #假设站点在:/home/www/html/目录下,所有的php 及上传文件都在这个目录下面。 location ~* \.php$ { proxy_pass http://www.a.com; } location /upload/ { alias /home/www/html/upload/; }
复制代码

而且,这个upload 目录,是静态目录,我们想法是下面所有文件是不能够执行的,包括php文件。

如果有用户访问:http://www.a.com/upload/1.css, 会直接显示该css, 但是,如果有用户访问:http://www.a.com/upload/1.php 类似文件,正如上面所说,实际匹配到:~* \.php$ 了。 upload 下面是执行了。

从这个里面,我们发现一个问题,实际没有达到我们要求。 静态目录下面的文件一样执行了。 这下比较麻烦了。 一旦出现个什么上存漏洞的,别人上存了一个php,我们还以为,我们配置是ok的。 觉得很安全,缺在不知不觉中被别人打开一扇门。

那么我们怎么样修改呢?

复制代码
location ~* \.php$ { proxy_pass http://www.a.com; } location ^~ /upload/ { alias /home/www/html/upload/; }
复制代码

对,就是必须用:"^~" ,这样是不是就已经安全了呢。 如果你再访问下:http://www.a.com/upload/1.php 你会发现,这段代码源码显示出来了。 这个其实对于我们而言也是不想见到了。 一段显示源码,在各个搜索引擎,很容易通过所有特殊关键字,搜索到改文件的。

那么我们该怎么样配置安全的上存目录呢? 对,你想到了:限制允许的特殊文件类型。

改造如下:

复制代码
location ~* \.php$ { proxy_pass http://www.a.com; } location ^~ /upload/ {
  if ($request_filename ! ~* \.(jpg|jpeg|gif|png|swf|zip|rar|txt)$) {
  return 403; } alias /home/www/html/upload/; }
复制代码

只要不是满足上面扩展名文件,就自动提示:403 不能访问,有可以避免源代码显示。

刚才从匹配结果已经知道了,同级不带任何匹配符的,是以右为准匹配。 那么,如果都用正则表达式,以什么方式匹配呢?

测试如下:(新建配置文件,server 包含)

复制代码
location ~* \.jpg$ { return 402; } location ~* 1\.jpg$ { return 403; }
复制代码

结果如下:

402 Payment Required -------------------------------------------------------------------------------- nginx/0.8.7

看来是返回的是:402 上面一个呢。 按理论说,1.jpg 配置 比 .jpg 更准确,看来跟上面说的顺序不同,那它会不会是那个在前以那个匹配呢? 我们再测试下:

复制代码
location ~* 1\.jpg$ { return 403; } location ~* \.jpg$ { return 402; }
复制代码

返回结果是:

403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7

哈哈,恰好相反,看来我的推断是正确的,如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。 一气说了,不知道朋友你,明白我的思路吗?这样比较会很多很多,大家可以逐一测试。 熟悉location 配置,对于熟练运用,nginx 是一个必备基数。 因为,nginx 太灵活,也太流行了。上面的问题,也许朋友你,会遇到。希望对你有帮助。

===================================================================================

沉默:沉心思考,默默学习!

分享到:
评论

相关推荐

    Nginx完整配置说明

    Nginx完整配置说明 Nginx是当前最流行的Web服务器软件之一,常用于搭建Web服务器、反向代理服务器、负载均衡器等。下面是Nginx的完整配置说明,涵盖基本配置、反向代理、FastCGI等方面的知识点。 一、基本配置 在...

    nginx location配置详细解释.pdf

    ### Nginx Location配置详细解析 #### 一、引言 Nginx 是一款轻量级的 Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在 Linux 环境下有着非常好的性能表现。在 Nginx 的配置文件中,`location` ...

    nginx配置location时容易出现的误区

    ### Nginx 配置 Location 时常见...总之,在配置 Nginx 时,正确理解和使用 `location` 的匹配规则和 `root`、`alias` 的区别是非常重要的。只有深入掌握这些概念,才能更高效地利用 Nginx 进行 Web 服务器的配置管理。

    nginx搭建配置详细说明

    3.4. nginx重要指令之location 4. nginx中的rewrite 4.1. 什么是rewrite 4.2. rewrite的命令的作用域和优先级 4.3. if指令 4.3.1. if指令的语法 4.3.2. if指令中使用的逻辑运算符 4.3.3. If指令中可以使用的...

    nginx的各项详细配置-超多注释

    本篇文章将详细介绍Nginx的各项配置,并结合提供的"nginx.conf"配置文件和"nginx.txt"说明文件,深入解析Nginx的配置语法和应用场景。** ### 1. Nginx基本结构 Nginx的配置文件主要由多个块组成,包括全局块、...

    Nginx Location 正则_NginxLocation正则.md_

    nginx正则表达式. : 匹配除换行符以外的任意字符? : 重复0次或1次+ : 重复1次或更多次* : 重复0次或更多次\d :匹配数字^ : 匹配字符串的开始$ : 匹配字符串的介绍{n} : 重复n次{n} : 重复n次或更多次[c] :...

    nginx配置location总结及rewrite规则写法

    nginx配置location总结及rewrite规则写法

    02nginx动态配置.zip

    可以使用`nginx -t`或`sudo nginx -t`命令进行测试,如果返回`configuration file /etc/nginx/nginx.conf test is successful`,则说明配置无误。然后重启Nginx以使更改生效。 ### 4. Nginx动态配置 动态配置是指...

    centos8 nginx1.20.1 与nginx配置文件

    在编译和安装Nginx之前,我们需要配置编译选项。打开配置脚本并添加必要的模块,例如`--with-http_ssl_module`以启用HTTPS支持: ```bash ./configure --prefix=/usr/local/nginx --with-http_ssl_module ``` 完成...

    NGINX location 在配置中的优先级.docx

    NGINX location 配置中的优先级详解 NGINX 中的 location directive 是一个非常重要的配置指令,它可以根据不同的 URL 模式来匹配不同的请求路径。但是,location 的配置顺序并不是固定的,而是根据 Location ...

    nginx 使用及配置文件

    ### Nginx 使用及配置详解:与Tomcat的协同工作 #### 一、Nginx简介 Nginx是一款高性能的HTTP服务器和反向代理服务器,由Igor Sysoev编写,于2004年首次发布。它以其高并发处理能力、低内存消耗和稳定性而著称,在...

    Nginx配置文件(nginx.conf)配置详解[定义].pdf

    Nginx配置文件(nginx.conf)配置详解 Nginx配置文件(nginx.conf)是Nginx服务器的核心配置文件,用于定义Nginx服务器的行为和配置。下面是Nginx配置文件的详细配置解释: 用户和组 Nginx配置文件中指定了用户和组,...

    Nginx配置文件详细说明

    在此记录下Nginx服务器nginx.conf的配置文件说明, 部分注释收集与网络. #运行用户 user www-data; #启动进程,通常设置成和cpu的数量相等 worker_processes 1; #全局错误日志及PID文件 error_log /var/log/...

    nginx location 配置 正则表达式实例详解

    在实际使用中,应根据具体需求选择合适的匹配方式,同时注意`location`指令的顺序,因为Nginx会按照配置文件中的顺序依次尝试匹配,直到找到第一个匹配项为止。此外,多做测试以验证配置的实际效果是避免误解和问题...

    Nginx配置文件说明.

    Nginx的配置文件通常位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf,根据不同的系统和安装路径可能会有所差异。 在Nginx的配置文件中,主要有以下几个部分: 1. **全局块**:这部分设置影响Nginx...

    Nginx安装配置、Resin安装配置说明文档

    (1) Nginx安装配置 - 1 - 1) Nginx安装 - 1 - 2) Nginx配置 - 1 - a)对c:\nginx\conf\nginx.conf文件进行配置: - 1 - b)常用的 Nginx 参数 - 3 - c)静态文件处理 - 4 - d)动态页面请求处理 - 4 - e)下面为nginx....

    nginx配置多域名访问以及完整配置

    要统计Nginx的访问数量,可以使用`access_log`指令记录日志,然后通过外部工具如`awstats`或`logrotate`进行分析。例如: ```nginx access_log /var/log/nginx/access.log combined; ``` `combined`是日志格式,...

    Nginx配置多个访问路径

    Nginx配置多个service 多个访问路径 找到conf/nginx.conf修改配置文件 #user nobody; worker_processes 1; #error_log logs/error.log; #error_log logs/error.log notice; #error_log logs/error.log info; #pid ...

Global site tag (gtag.js) - Google Analytics