小心Nginx的add_header指令

栏目: 服务器 · Nginx · 发布时间: 5年前

内容简介:转载请注明文章出处:昨天无聊用主站点在

转载请注明文章出处: https://tlanyan.me/be-careful-with-nginx-add_header-directive/

昨天无聊用 curl 查看一个站点的信息,发现返回的头部与想象中的不一样: 

HTTP/2 200
date: Thu, 07 Feb 2019 04:26:38 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding, Cookie
cache-control: max-age=3, must-revalidate
last-modified: Thu, 07 Feb 2019 03:54:54 GMT
X-Cache: Miss
server: cloudflare
...

主站点在 nginx.conf 中配置了HSTS等header: 

add_header Strict-Transport-Security "max-age=63072000; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";

但响应头部没有这些header。除了常规的header,仅出现了一个配置配置在 location 中的header X-Cache

第一印象是CDN过滤了这些header?于是找 Cloudflare 的文档,没发现会对这些进行处理。转念一想,CDN过滤这些干啥啊?吃饱了撑的啊?他们又不搞zheng审那一套!

问题转移到Nginx的配置上。打开Google搜索”nginx location add_header”,果然发现不少槽点。点开官网 add_header 的文档,有这样的描述(其他信息已省略): 

There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.

注意重点在 “These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level. ” 。即: 仅当当前层级中没有 add_header 指令才会继承父级设置 。所以我的疑问就清晰了: location 中有 add_headernginx.conf 中的配置被丢弃了。

这是 Nginx 的故意行为,说不上是bug或坑。但深入体会这句话,会发现更有意思的现象:仅最近一处的 add_header 起作用。 httpserverlocation 三处均可配置 add_header ,但起作用的是最接近的配置,往上的配置都会失效。

但问题还不仅于此。如果 locationrewrite 到另一个 location ,最后结果仅出现第二个的header。例如: 

location /foo1 {
    add_header foo1 1;
    rewrite / /foo2;
}

location /foo2 {
    add_header foo2 1;
    return 200 "OK";
}

不管请求 /foo1 还是 /foo2 ,最终header只有 foo2

小心Nginx的add_header指令

尽管说得通这是正常行为,但总让人感觉有点勉强和不舒坦: server 丢掉 http 配置, location 丢掉 server 配置也就算了,但两个 location 在同一层级啊!

不能继承父级配置,又不想在当前块重复指令,解决办法可以用 include 指令。

参考

  1. Nginx Module ngx_http_headers_module
  2. Nginx add_header configuration pitfall
  3. Be very careful with your add_header in Nginx! You might make your site insecure
  4. add_header directives in location overwriting add_header directives in server
  5. nginx 配置之 add_header 的坑

以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
iOS软件开发揭密

iOS软件开发揭密

虞斌 / 电子工业出版社 / 2011-5-1 / 79.00元

本书以严密的体系性提供了iPhone和iPad软件开发从入门到专家的系统性知识,并提供来源于真实项目的可重用商业代码。书中的每个实例都是项目经验的提炼,深入浅出地讲解iPhone和iPad软件开发的核心技术要点,基本涵盖了iOS软件开发在真实商业项目中所需要的所有主题,并将实例介绍的技术深度和超值的实用性结合在一起,成为本书的特色。 随书附赠的光盘中包含了书中大量案例的完整工程源代码,可以让......一起来看看 《iOS软件开发揭密》 这本书的介绍吧!

码农工具
图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2024 码农网 粤ICP备17054400号-3