nginx location 配置阐述优先级别使用说明
使用nginx 有大半年了,它的高性能,稳定性表现很好。 这里也得到很多人的认可。 其中它的配置,有点像写程序一样,每行命令结尾一个";"号,语句块用"{}"括起来。 配制好,直接nginx -t 检查配制情况,配制成功,直接运行:service nginx reload .服务器没有任何宕机情况下,实现平稳修改配置。
最近一直在做location 配制时候,遇到小麻烦,以下是个人学习一点体会。
1.location 匹配的优先级(来自实践总结中)
(location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)
只要匹配到,其它的都会忽略,然后返回到改匹配。
用以下例子来测试:
#1
6 location / {
7 return 500;
8 }
9
10 #2
11 location /a/ {
12 return 404;
13 }
14
15 #3
16 location ~* \.jpg$ {
17 return 403;
18 }
19
20 #4
21 location ^~ /a/ {
22 return 402;
23 }
24
25 #5
26 location /a/1.jpg {
27 return 401;
28 }
29
30 #6
31 location = /a/1.jpg {
32 return 400;
33 }
34
说明测试时候:先要将#2全部注释掉,不然会认为#2 与#4 完全一样。会提示:重复配制
D:\nginx-0.8.7>nginx -s reload
[emerg]: duplicate location "/a/" in D:\nginx-0.8.7/conf/nginx.conf:53
首先测试:每次都是访问:http://localhost:9999/a/1.jpg (在windows 安装测试,然后端口是9999) 文件a/1.jpg
根本不存在。关键是测试看页面返回情况。
a.
400 Bad Request -------------------------------------------------------------------------------- nginx/0.8.7
(图一)
从测试中可以看到,优先级最高的是:= 号。 它会最先匹配到。
b.接下来我们 屏蔽掉 #6 如下:
#6
# location = /a/1.jpg {
# return 400;
# }
然后在:D:\nginx-0.8.7> nginx -s reload 访问:http://localhost:9999/a/1.jpg
401 Authorization Required -------------------------------------------------------------------------------- nginx/0.8.7
图(2-2)
注意:从这个测试 发现 :没有“=”情况下,location 后面直接接完整路径是优先匹配。 通过测试发现,如果将:location /a/1.jpg 改成:location /a/1\.jpg
会出现意外情况,直接出现是:return 402. 从这一点,可以推测到nginx 匹配优先是:网站路径,并且不带正则表达式的优先。
以上是本人通过测试,推测得到,如有问题,欢迎指正。
c.同理测试 屏蔽掉 #5 如下:注释及重新加载同上.
#5
# location /a/1.jpg {
# return 401;
# }
访问:http://localhost:9999/a/1.jpg 返回如下结果。
402 Payment Required -------------------------------------------------------------------------------- nginx/0.8.7
通过这个测试可以得出:location ^~ 优先级 高于 location ~* 优先级 ,其中:^~ 主要后面接路径。
c.同理测试 屏蔽掉 #4 如下:注释及重新加载同上.
#4
# location ^~ /a/ {
# return 402;
# }
访问:http://localhost:9999/a/1.jpg 返回如下结果。403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7
从以上比较得到:正则优先 未带任何批评符 的路径匹配
d.同理测试 屏蔽掉 #3 如下:注释及重新加载同上. 并且去掉#2 的注释“#”
#2
location /a/ {
return 404;
}访问:http://localhost:9999/a/1.jpg 返回如下结果。 404 Not Found -------------------------------------------------------------------------------- nginx/0.8.7
比较有意思是:/a/ 与 / 应该是 同种类型的匹配表达式, 可以从中得到,该匹配顺序是,将路径从右匹配, 可以推测形如逐个字符,那个先匹配到,就是那个优先。 因此得到是:/a/ 优先于 / .
以上测试,是我测试结果,优先级别以以上规律。 在实际我们书写中,经常会犯错误。 还记得前段时间:80后安全团队曝nginx漏洞 其实,个人认为不能算是nginx
漏洞,只是,我们不了解nginx 配制规则,而出现一个配置上面致命漏洞而已。 其实,通过上面优先级,我们在配置时候可能也一样经常犯一个致命错误。
#以下是随便写例子,个人可能各不相同
#假设站点在:/home/www/html/目录下,所有的php 及上传文件都在这个目录下面。
location ~* \.php$ {
proxy_pass http://www.a.com;
} location /upload/ {
alias /home/www/html/upload/;
}
而且,这个upload 目录,是静态目录,我们想法是下面所有文件是不能够执行的,包括php文件。
如果有用户访问:http://www.a.com/upload/1.css , 会直接显示该css, 但是,如果有用户访问:http://www.a.com/upload/1.php
类似文件,正如上面所说,实际匹配到:~* \.php$ 了。 upload 下面是执行了。
从这个里面,我们发现一个问题,实际没有达到我们要求。 静态目录下面的文件一样执行了。 这下比较麻烦了。 一旦出现个什么上存漏洞的,别人上存了一个php,我们还以为,我们配置是ok的。 觉得很安全,缺在不知不觉中被别人打开一扇门。
那么我们怎么样修改呢?
location ~* \.php$ {
proxy_pass http://www.a.com;
} location ^~ /upload/ {
alias /home/www/html/upload/;
}
对,就是必须用:"^~" ,这样是不是就已经安全了呢。 如果你再访问下:http://www.a.com/upload/1.php 你会发现,这段代码源码显示出来了。 这个其实对于我们而言也是不想见到了。 一段显示源码,在各个搜索引擎,很容易通过所有特殊关键字,搜索到改文件的。
那么我们该怎么样配置安全的上存目录呢? 对,你想到了:限制允许的特殊文件类型。
改造如下:
location ~* \.php$ {
proxy_pass http://www.a.com;
} location ^~ /upload/ {if ($request_filename ! ~* \.(jpg|jpeg|gif|png|swf|zip|rar|txt)$) {return 403;
}
alias /home/www/html/upload/;
}
只要不是满足上面扩展名文件,就自动提示:403 不能访问,有可以避免源代码显示。
刚才从匹配结果已经知道了,同级不带任何匹配符的,是以右为准匹配。 那么,如果都用正则表达式,以什么方式匹配呢?
测试如下:(新建配置文件,server 包含)
location ~* \.jpg$ {
return 402;
} location ~* 1\.jpg$ {
return 403;
}
结果如下:
402 Payment Required -------------------------------------------------------------------------------- nginx/0.8.7
看来是返回的是:402 上面一个呢。 按理论说,1.jpg 配置 比 .jpg 更准确,看来跟上面说的顺序不同,那它会不会是那个在前以那个匹配呢? 我们再测试下:
location ~* 1\.jpg$ {
return 403;
} location ~* \.jpg$ {
return 402;
}
返回结果是:
403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7
哈哈,恰好相反,看来我的推断是正确的,如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。 一气说了,不知道朋友你,明白我的思路吗?这样比较会很多很多,大家可以逐一测试。 熟悉location 配置,对于熟练运用,nginx 是一个必备基数。 因为,nginx 太灵活,也太流行了。上面的问题,也许朋友你,会遇到。希望对你有帮助。
===================================================================================
沉默:沉心思考,默默学习!
nginx location 配置阐述优先级别使用说明的更多相关文章
- Nginx Location配置总结
Nginx Location配置总结 语法规则: location [=|~|~*|^~] /uri/ { - }= 开头表示精确匹配^~ 开头表示uri以某个常规字符串开头,理解为匹配 url路径即 ...
- nginx location配置
nginx location配置 location在nginx中起着重要作用,对nginx接收到的请求字符串进行处理,如地址定向.数据缓存.应答控制.代理转发等location语法location ...
- Nginx location配置详细解释
nginx location配置详细解释 语法规则: location [=|~|~*|^~] /uri/ { - } = 开头表示精确匹配 ^~ 开头表示uri以某个常规字符串开头,理解为匹配 ur ...
- nginx location 配置详解 【转载,整理】
http://www.nginx.cn/115.html NGINX location 配置参考:http://www.cnblogs.com/zlingh/p/6288994.html https: ...
- Nginx location 配置用法及正则例子
Nginx location 配置语法 1. location [ = | ~ | ~* | ^~ ] uri { ... } 2. location @name { ... } ...
- [转帖]nginx location配置详细解释
nginx location配置详细解释 http://outofmemory.cn/code-snippet/742/nginx-location-configuration-xiangxi-exp ...
- Nginx Location配置语法介绍、优先级说明
nginx 语法规则:location [=|~|~*|^~|!~|!~*] /uri/ { … } location匹配的是$document_uri,$document_uri 会随 ...
- Nginx Location配置总结及基础最佳实践
参考来源: http://blog.zol.com.cn/1067/article_1066186.html,http://flandycheng.blog.51cto.com/855176/2801 ...
- nginx Location配置总结(转)
本文部分转自:http://cssor.com/nginx-location-configuration.html 一. 开头 语法规则: location [=|~|~*|^~] /uri/ { … ...
随机推荐
- 使用"*"通配符来选择文件
Include 方法和IncludeDirectory 方法中的搜索模式中指定的虚拟路径可以接受一个"*"通配符字符作为前缀或后缀,以在最后一个路径段.搜索字符串是大小写不敏感的. ...
- Vue Vuex state mutations
Vuex 解决不同组件的数据共享,与数据持久化 1.npm install vuex --save 2.新建store.js 并引入vue vuex ,Vue.use(Vuex) 3.state在vu ...
- ExposedObject的使用
ExposedObject可以将一个对象快速封装未一个dynamic using System; namespace ConsoleApp2 { class Program { static void ...
- 为什么要使用MQ消息中间件?
在面试大型互联网公司的时候,很可能会被问到消息队列的问题: 1.在何种场景下使用了消息中间件? 2.为什么要在系统里引入消息中间件? 3.如何实现幂等? 链式调用是我们在写程序时候的一般流程,为了完成 ...
- Spring boot进阶-配置Controller、interceptor...
1.配置SpringBootApplication(对spring boot来说这是最基本) package io.github.syske.springboot31; import org.spri ...
- 洛谷P4495 [HAOI2018]奇怪的背包(数论)
题面 传送门 题解 好神仙的思路啊--orzyyb 因为不限次数,所以一个体积为\(V_i\)的物品可以表示出所有重量为\(\gcd(V_i,P)\)的倍数的物品,而所有物品的总和就是这些所有的\(\ ...
- nginx公网IP无法访问浏览器
配置服务器时候发现的问题,真的是搜肠刮肚的找答案,找一下午,终于找到了答案. 一.开始找原因 在浏览器输入:http://ip,正常的话,会有页面,welcome to nginx 我这里是浏览器访问 ...
- linux防火墙(四)—— SNET和DNET原理及应用
图(1) 一.SNAT策略 应用环境:局域网主机共享单个公网IP地址接入Internet,简单的说就是企业内部局域网想访问外部服务器时,网关型防火墙需要开启的SNAT应用策略. SNAT策略原理:网关 ...
- 1. UML统一建模语言
(1)UML概述: 建模: 对现实系统进行适当的过滤, 用适当的表现规则描述出简洁的模型. 建模是一种深入解决问题的方法. UML: UML(United Modeling Language, 统一建 ...
- 谈谈php中抽象类和接口的区别
php中抽象类和接口的区别 1) 概念 面向对象的三大概念:封装,继承,多态 把属性和方法封装起来就是类. 一个类的属性和方法被另外的类复制就是继承,PHP里面的任何类都可以被继承,被继 ...