使用nginx 有大半年了,它的高性能,稳定性表现很好。 这里也得到很多人的认可。 其中它的配置,有点像写程序一样,每行命令结尾一个";"号,语句块用"{}"括起来。 配制好,直接nginx -t 检查配制情况,配制成功,直接运行:service nginx reload .服务器没有任何宕机情况下,实现平稳修改配置。

  最近一直在做location 配制时候,遇到小麻烦,以下是个人学习一点体会。

  1.location 匹配的优先级(来自实践总结中)

  (location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)

     只要匹配到,其它的都会忽略,然后返回到改匹配。

  用以下例子来测试:

     #1

 6      location / {

 7         return 500;

 8     }

 9

10  #2

11      location /a/ {

12         return 404;

13     }

14

15  #3

16      location ~* \.jpg$ {

17         return 403;

18     }

19

20  #4

21      location ^~ /a/ {

22         return 402;

23     }

24

25  #5

26      location  /a/1.jpg {

27         return 401;

28     }

29

30  #6

31      location = /a/1.jpg {

32         return 400;

33      }

34

说明测试时候:先要将#2全部注释掉,不然会认为#2 与#4 完全一样。会提示:重复配制


D:\nginx-0.8.7>nginx -s reload

[emerg]: duplicate location "/a/" in D:\nginx-0.8.7/conf/nginx.conf:53

首先测试:每次都是访问:http://localhost:9999/a/1.jpg (在windows 安装测试,然后端口是9999) 文件a/1.jpg
根本不存在。关键是测试看页面返回情况。

a.

400 Bad Request

--------------------------------------------------------------------------------

nginx/0.8.7

(图一)

从测试中可以看到,优先级最高的是:= 号。 它会最先匹配到。

b.接下来我们 屏蔽掉 #6 如下:

#6

#    location = /a/1.jpg {

#        return 400;

#    }

然后在:D:\nginx-0.8.7> nginx -s reload  访问:http://localhost:9999/a/1.jpg

401 Authorization Required

--------------------------------------------------------------------------------

nginx/0.8.7

图(2-2)

注意:从这个测试 发现 :没有“=”情况下,location 后面直接接完整路径是优先匹配。 通过测试发现,如果将:location  /a/1.jpg   改成:location /a/1\.jpg

会出现意外情况,直接出现是:return 402.  从这一点,可以推测到nginx 匹配优先是:网站路径,并且不带正则表达式的优先。

以上是本人通过测试,推测得到,如有问题,欢迎指正。

c.同理测试 屏蔽掉 #5 如下:注释及重新加载同上.

#5

#    location  /a/1.jpg {

#        return 401;

#    }


 

访问:http://localhost:9999/a/1.jpg 返回如下结果。


402 Payment Required

--------------------------------------------------------------------------------

nginx/0.8.7

通过这个测试可以得出:location ^~ 优先级 高于 location ~* 优先级 ,其中:^~ 主要后面接路径。

c.同理测试 屏蔽掉 #4 如下:注释及重新加载同上.

#4

#    location ^~ /a/ {

#        return 402;

#    }


 

访问:http://localhost:9999/a/1.jpg 返回如下结果。



403 Forbidden

--------------------------------------------------------------------------------

nginx/0.8.7

从以上比较得到:正则优先 未带任何批评符 的路径匹配

d.同理测试 屏蔽掉 #3 如下:注释及重新加载同上. 并且去掉#2 的注释“#”

#2

    location /a/ {

        return 404;

        }




访问:http://localhost:9999/a/1.jpg 返回如下结果。

404 Not Found

--------------------------------------------------------------------------------

nginx/0.8.7

比较有意思是:/a/ 与 /  应该是 同种类型的匹配表达式, 可以从中得到,该匹配顺序是,将路径从右匹配, 可以推测形如逐个字符,那个先匹配到,就是那个优先。 因此得到是:/a/ 优先于 / .

以上测试,是我测试结果,优先级别以以上规律。 在实际我们书写中,经常会犯错误。 还记得前段时间:80后安全团队曝nginx漏洞 其实,个人认为不能算是nginx
漏洞,只是,我们不了解nginx 配制规则,而出现一个配置上面致命漏洞而已。 其实,通过上面优先级,我们在配置时候可能也一样经常犯一个致命错误。


#以下是随便写例子,个人可能各不相同

#假设站点在:/home/www/html/目录下,所有的php 及上传文件都在这个目录下面。

location ~* \.php$ {

    proxy_pass http://www.a.com;

}

location  /upload/ {

    alias   /home/www/html/upload/;

}

而且,这个upload 目录,是静态目录,我们想法是下面所有文件是不能够执行的,包括php文件。

如果有用户访问:http://www.a.com/upload/1.css , 会直接显示该css, 但是,如果有用户访问:http://www.a.com/upload/1.php 
类似文件,正如上面所说,实际匹配到:~* \.php$  了。 upload 下面是执行了。

从这个里面,我们发现一个问题,实际没有达到我们要求。 静态目录下面的文件一样执行了。 这下比较麻烦了。 一旦出现个什么上存漏洞的,别人上存了一个php,我们还以为,我们配置是ok的。 觉得很安全,缺在不知不觉中被别人打开一扇门。

那么我们怎么样修改呢?

location ~* \.php$ {

    proxy_pass http://www.a.com;

}

location ^~ /upload/ {

    alias   /home/www/html/upload/;

}

对,就是必须用:"^~" ,这样是不是就已经安全了呢。 如果你再访问下:http://www.a.com/upload/1.php  你会发现,这段代码源码显示出来了。 这个其实对于我们而言也是不想见到了。 一段显示源码,在各个搜索引擎,很容易通过所有特殊关键字,搜索到改文件的。

那么我们该怎么样配置安全的上存目录呢? 对,你想到了:限制允许的特殊文件类型。

改造如下:

location ~* \.php$ {

    proxy_pass http://www.a.com;

}

location ^~ /upload/ {


  if ($request_filename ! ~* \.(jpg|jpeg|gif|png|swf|zip|rar|txt)$) {


  return 403;

    }

    alias   /home/www/html/upload/;

}

只要不是满足上面扩展名文件,就自动提示:403 不能访问,有可以避免源代码显示。

刚才从匹配结果已经知道了,同级不带任何匹配符的,是以右为准匹配。 那么,如果都用正则表达式,以什么方式匹配呢?

测试如下:(新建配置文件,server 包含)

    location ~* \.jpg$ {

            return 402;

    }

    location ~* 1\.jpg$ {

            return 403;

    }

结果如下:

402 Payment Required

--------------------------------------------------------------------------------

nginx/0.8.7

看来是返回的是:402 上面一个呢。 按理论说,1.jpg 配置 比 .jpg 更准确,看来跟上面说的顺序不同,那它会不会是那个在前以那个匹配呢? 我们再测试下:

    location ~* 1\.jpg$ {

            return 403;

    }

    location ~* \.jpg$ {

            return 402;

    }

返回结果是:

403 Forbidden

--------------------------------------------------------------------------------

nginx/0.8.7

哈哈,恰好相反,看来我的推断是正确的,如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。 一气说了,不知道朋友你,明白我的思路吗?这样比较会很多很多,大家可以逐一测试。 熟悉location 配置,对于熟练运用,nginx 是一个必备基数。 因为,nginx 太灵活,也太流行了。上面的问题,也许朋友你,会遇到。希望对你有帮助。

===================================================================================

沉默:沉心思考,默默学习!

nginx location 配置阐述优先级别使用说明的更多相关文章

  1. Nginx Location配置总结

    Nginx Location配置总结 语法规则: location [=|~|~*|^~] /uri/ { - }= 开头表示精确匹配^~ 开头表示uri以某个常规字符串开头,理解为匹配 url路径即 ...

  2. nginx location配置

    nginx location配置   location在nginx中起着重要作用,对nginx接收到的请求字符串进行处理,如地址定向.数据缓存.应答控制.代理转发等location语法location ...

  3. Nginx location配置详细解释

    nginx location配置详细解释 语法规则: location [=|~|~*|^~] /uri/ { - } = 开头表示精确匹配 ^~ 开头表示uri以某个常规字符串开头,理解为匹配 ur ...

  4. nginx location 配置详解 【转载,整理】

    http://www.nginx.cn/115.html NGINX location 配置参考:http://www.cnblogs.com/zlingh/p/6288994.html https: ...

  5. Nginx location 配置用法及正则例子

    Nginx location 配置语法     1. location [ = | ~ | ~* | ^~ ] uri { ... }     2. location @name { ... }   ...

  6. [转帖]nginx location配置详细解释

    nginx location配置详细解释 http://outofmemory.cn/code-snippet/742/nginx-location-configuration-xiangxi-exp ...

  7. Nginx Location配置语法介绍、优先级说明

    nginx 语法规则:location   [=|~|~*|^~|!~|!~*]    /uri/   { … } location匹配的是$document_uri,$document_uri 会随 ...

  8. Nginx Location配置总结及基础最佳实践

    参考来源: http://blog.zol.com.cn/1067/article_1066186.html,http://flandycheng.blog.51cto.com/855176/2801 ...

  9. nginx Location配置总结(转)

    本文部分转自:http://cssor.com/nginx-location-configuration.html 一. 开头 语法规则: location [=|~|~*|^~] /uri/ { … ...

随机推荐

  1. C# 属性与字段

    属性和字段的区别: 属性是逻辑字段,是字段的扩展,并不占用实际的内存:而字段占用内存空间. 属性可以被其他类访问:而非public的字段不能被直接访问. 属性可以对接受的数据在范围上做限定:而字段不能 ...

  2. 树莓派_实现摄像头的拍照、监控与录像(Raspiberry PI Camera 5W)

    学无止境    前言:大家好,欢迎来到誉雪飞舞的博客园,我的每篇文章都是自己用心编写, 算不上精心但是足够用心分享我的自学知识,希望大家能够指正我,互相学习成长. 转载请注明:https://www. ...

  3. 「BZOJ 1924」「SDOI 2010」所驼门王的宝藏「Tarjan」

    题意 一个\(r\times c\)的棋盘,棋盘上有\(n\)个标记点,每个点有三种类型,类型\(1\)可以传送到本行任意标记点,类型\(2\)可以传送到本列任意标记点,类型\(3\)可以传送到周围八 ...

  4. php代码审计2全局变量和超全局变量

    全局变量:就是在函数外面定义的变量,不能在函数中直接使用,因为它的作用域不会到函数内部,所以在函数内部使用的时候尝尝看到类似global $a; 超全局变量:在所有脚本都有效,所以,在函数可以直接使用 ...

  5. jmeter在linux上运行

    若需在linux操作系统上运行jmeter,则需要以命令行的形式运行. 前提条件:linux环境下配置好jdk.jmeter的环境变量等. 1.首先在Windows的图形化界面做好脚本,设置好并发用户 ...

  6. Azure ASM虚拟机部署反恶意软件-安全扩展

    Azure虚拟机,默认情况下没有安装杀毒软件.如果您有此需求可以通过Azure 扩展进行安装,有关Azure反恶意软件的官方说明请参考:https://docs.azure.cn/zh-cn/secu ...

  7. linux的发行版

    Linux的不同版本以及应用领域 1.Linux内核及发行版介绍 <1>Linux内核版本 内核(kernel)是系统的心脏,是运行程序和管理像磁盘和打印机等硬件设备的核心程序,它提供了一 ...

  8. AVFoundation 文本播报

    #import <Foundation/Foundation.h> #import <AVFoundation/AVFoundation.h> @interface Speak ...

  9. Python闭包需要注意的问题

    定义   python中的闭包从表现形式上定义为:如果在一个内部函数里,对在外部作用域(但不是在全局作用域)的变量进行引用,那么内部函数就被认为是闭包(closure),也就是说内层函数引用了外层函数 ...

  10. asp web服务

    项目名--->添加--->web引用 网址:http://www.webxml.com.cn/zh_cn/index.aspx https://blog.csdn.net/linshich ...