Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2168556
  • 博文数量: 317
  • 博客积分: 5670
  • 博客等级: 大校
  • 技术积分: 3677
  • 用 户 组: 普通用户
  • 注册时间: 2008-08-10 17:51
文章分类

全部博文(317)

文章存档

2016年(2)

2015年(44)

2014年(68)

2013年(42)

2012年(23)

2011年(51)

2010年(67)

2009年(17)

2008年(3)

分类: LINUX

2015-07-22 18:08:28

 转自:http://www.cnblogs.com/chengmo/archive/2010/06/25/1765442.html

使用nginx 有大半年了,它的高性能,稳定性表现很好。 这里也得到很多人的认可。 其中它的配置,有点像写程序一样,每行命令结尾一个";"号,语句块用"{}"括起来。 配制好,直接nginx -t 检查配制情况,配制成功,直接运行:service nginx reload .服务器没有任何宕机情况下,实现平稳修改配置。

 

  最近一直在做location 配制时候,遇到小麻烦,以下是个人学习一点体会。

 

  1.location 匹配的优先级(来自实践总结中)

 

  (location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)

     只要匹配到,其它的都会忽略,然后返回到改匹配。

  用以下例子来测试:

 

复制代码
	
 #1 6   location / { 7 return 500; 8 } 9 10  #2 11   location /a/ { 12 return 404; 13 } 14 15  #3 16   location ~* \.jpg$ { 17 return 403; 18 } 19 20  #4 21   location ^~ /a/ { 22 return 402; 23 } 24 25  #5 26   location /a/1.jpg { 27 return 401; 28 } 29 30  #6 31   location = /a/1.jpg { 32 return 400; 33   } 34
复制代码


 说明测试时候:先要将#2全部注释掉,不然会认为#2 与#4 完全一样。会提示:重复配制

 

	
D:\nginx-0.8.7>nginx -s reload [emerg]: duplicate location "/a/" in D:\nginx-0.8.7/conf/nginx.conf:53

 

 

首先测试:每次都是访问:

	
400 Bad Request -------------------------------------------------------------------------------- nginx/0.8.7

(图一)

从测试中可以看到,优先级最高的是:= 号。 它会最先匹配到。

 

 

b.接下来我们 屏蔽掉 #6 如下:

 

	
#6 # location = /a/1.jpg { # return 400; # }

然后在:D:\nginx-0.8.7> nginx -s reload  访问:

	
401 Authorization Required -------------------------------------------------------------------------------- nginx/0.8.7

图(2-2)

注意:从这个测试 发现 :没有“=”情况下,location 后面直接接完整路径是优先匹配。 通过测试发现,如果将:location  /a/1.jpg   改成:location /a/1\.jpg

会出现意外情况,直接出现是:return 402.  从这一点,可以推测到nginx 匹配优先是:网站路径,并且不带正则表达式的优先。

以上是本人通过测试,推测得到,如有问题,欢迎指正。

 

c.同理测试 屏蔽掉 #5 如下:注释及重新加载同上.

 

	
#5 # location /a/1.jpg { # return 401; # }
 

 

访问: 复制代码

 

 

通过这个测试可以得出:location ^~ 优先级 高于 location ~* 优先级 ,其中:^~ 主要后面接路径。

 

c.同理测试 屏蔽掉 #4 如下:注释及重新加载同上.

 

复制代码
	
#4 # location ^~ /a/ { # return 402; # }
 

	

访问: 复制代码

从以上比较得到:正则优先 未带任何批评符 的路径匹配

 

d.同理测试 屏蔽掉 #3 如下:注释及重新加载同上. 并且去掉#2 的注释“#”

 

复制代码
	
#2 location /a/ { return 404; }

 

访问: 复制代码

 

比较有意思是:/a/ 与 /  应该是 同种类型的匹配表达式, 可以从中得到,该匹配顺序是,将路径从右匹配, 可以推测形如逐个字符,那个先匹配到,就是那个优先。 因此得到是:/a/ 优先于 / .

 

 

 

以上测试,是我测试结果,优先级别以以上规律。 在实际我们书写中,经常会犯错误。 还记得前段时间:80后安全团队曝nginx漏洞 其实,个人认为不能算是nginx 漏洞,只是,我们不了解nginx 配制规则,而出现一个配置上面致命漏洞而已。 其实,通过上面优先级,我们在配置时候可能也一样经常犯一个致命错误。

 

 

 

复制代码
	
#以下是随便写例子,个人可能各不相同 #假设站点在:/home/www/html/目录下,所有的php 及上传文件都在这个目录下面。 location ~* \.php$ { proxy_pass } location /upload/ { alias /home/www/html/upload/; }
复制代码

 

 

而且,这个upload 目录,是静态目录,我们想法是下面所有文件是不能够执行的,包括php文件。

如果有用户访问:

从这个里面,我们发现一个问题,实际没有达到我们要求。 静态目录下面的文件一样执行了。 这下比较麻烦了。 一旦出现个什么上存漏洞的,别人上存了一个php,我们还以为,我们配置是ok的。 觉得很安全,缺在不知不觉中被别人打开一扇门。

 

 

那么我们怎么样修改呢?

 

	
location ~* \.php$ { proxy_pass } location ^~ /upload/ { alias /home/www/html/upload/; }
复制代码

 

对,就是必须用:"^~" ,这样是不是就已经安全了呢。 如果你再访问下:

	
location ~* \.php$ { proxy_pass } location ^~ /upload/ {
  if ($request_filename ! ~* \.(jpg|jpeg|gif|png|swf|zip|rar|txt)$) {
  return 403;     } alias /home/www/html/upload/; }
复制代码

 

只要不是满足上面扩展名文件,就自动提示:403 不能访问,有可以避免源代码显示。

 

 

刚才从匹配结果已经知道了,同级不带任何匹配符的,是以右为准匹配。 那么,如果都用正则表达式,以什么方式匹配呢?

测试如下:(新建配置文件,server 包含)

 

复制代码
	
location ~* \.jpg$ { return 402; } location ~* 1\.jpg$ { return 403; }
复制代码

 结果如下:

 

	
402 Payment Required -------------------------------------------------------------------------------- nginx/0.8.7

 

看来是返回的是:402 上面一个呢。 按理论说,1.jpg 配置 比 .jpg 更准确,看来跟上面说的顺序不同,那它会不会是那个在前以那个匹配呢? 我们再测试下:

 

复制代码
	
location ~* 1\.jpg$ { return 403; } location ~* \.jpg$ { return 402; }
复制代码

 

返回结果是:

 

	
403 Forbidden -------------------------------------------------------------------------------- nginx/0.8.7

 

 

哈哈,恰好相反,看来我的推断是正确的,如果都是正则,都能够匹配,以配置文件出现顺序来,谁在前谁优先。 一气说了,不知道朋友你,明白我的思路吗?这样比较会很多很多,大家可以逐一测试。 熟悉location 配置,对于熟练运用,nginx 是一个必备基数。 因为,nginx 太灵活,也太流行了。上面的问题,也许朋友你,会遇到。希望对你有帮助。

 

 

 

===================================================================================

沉默:沉心思考,默默学习!


阅读(1261) | 评论(0) | 转发(1) |
0

上一篇:TortoiseSVN中Branching和Merging实践

下一篇:利用nginx-status监控nginx服务器状态

给主人留下些什么吧!~~