Nginx配置指令location匹配符优先级和安全问题-阿里云开发者社区

link管理

链接快照平台

输入网页链接，自动生成快照
标签化管理网页链接

相关文章推荐

体贴的太阳 · Android的前台服务_android ...· 12 小时前 ·

眼睛小的消防车 · 触发器 - REBUILD 帮助文档· 5 天前 ·

干练的红薯 · 运算符优先级和结合性 – C++学习网· 5 天前 ·

激动的书包 · libevent之event_base - ...· 1 周前 ·

刚失恋的投影仪 · Chrome 浏览器性能优化：主线程 & ...· 1 周前 ·

孤独的火龙果 · 驻爱丁堡总领事谭秀甜举行兔年新春招待会暨离任 ...· 3 周前 ·

一直单身的丝瓜 · 用 K-Means聚类算法(K-Means ...· 1 月前 ·

不拘小节的牛排 · 首届鹏城-澳门联合靶场网安竞赛成功举办_科研 ...· 3 月前 ·

开朗的丝瓜 · 好读书· 3 月前 ·

安静的土豆 · 如何：组织生成的项目输出文件 | ...· 4 月前 ·

最近一直在做location 配置，遇到优先级别问题（如果配置不当可能存在安全隐患哦），以下是个人学习一点体会。

一、 location 的匹配符
1.等于匹配符：=
等于匹配符就是等号，特点可以概括为两点：
精确匹配
不支持正则表达式
2.空匹配符
空匹配符的特点是：
匹配以指定模式开始的 URI
不支持正则表达式
3.正则匹配符：~
正则匹配符是可以使用正则表达式的匹配符。不过这里要强调的是，一般来说~是指：
区分大小写的正则匹配
而~*表示：
不区分大小写的正则匹配
但是对于一些对大小写不敏感的操作系统，这两者没有区别。另外一个就是^~，其表示以指定模式开始的正则匹配。

4.内部访问符：@
一般用于错误页面等，这个暂不讨论。

二、匹配符优先级
1.=
2.空匹配符，满足精确匹配时
3.^~
4.~或~*
5.空匹配符，满足以指定模式开始时的匹配时
这样说比较抽象，我们来看例子吧。

2.1 等于匹配符与精确匹配时的空匹配符

看下面的例子（用到我们此前一起完成的Hello World模块）：

复制代码代码如下:
location /poechant {
hello_world no1;
}

location = /poechant {
hello_world no2;
}

如果我们的请求是http://my.domian/poechant，则我们发现两个location都与请求的 URI 匹配，这时根据我们的优先级顺序，第一个是精确匹配时的空匹配符，第二个是等于匹配符，所以第二个的优先级高，也就是应该输出：

hello_world, no2
同时也说明 Nginx 的 locatoin 不是按照配置文件中的书写顺序来匹配的。

2.2 精确匹配时的空匹配符与正则匹配的^~

下面这个例子中，两者开始都精确匹配了，连这个正则匹配都是精确匹配。

复制代码代码如下:
location ^~ ^/poechant$ {
hello_world no1;
}

location /poechant {
hello_world no2;
}

匹配哪一个？你测试一下，会得到：

hello_world, no2
与我们上面说的优先级顺序相吻合。
2.3 其他匹配优先级比较的实例
略

三、实战经验总结

1.location 匹配的优先级(来自实践总结中)
(location =) > (location 完整路径 >) >(location ^~ 路径) >(location ~* 正则) >(location 路径)
只要匹配到，其它的都会忽略，然后返回到改匹配。
用以下例子来测试：

复制代码代码如下:
#1
location / {
return 500;
}
#2
location /a/ {
return 404;
}
#3
location ~* \.jpg$ {
return 403;
}
#4
location ^~ /a/ {
return 402;
}
#5
location /a/1.jpg {
return 401;
}
#6
location = /a/1.jpg {
return 400;
}

说明：测试的时候,先要将#2全部注释掉，不然会认为#2 与#4 完全一样。会提示:重复配置,提示如下

复制代码代码如下:
D:\nginx-0.8.7>nginx -s reload
[emerg]: duplicate location "/a/" in D:\nginx-0.8.7/conf/nginx.conf:53

浏览测试：每次都是访问:http://localhost:9999/a/1.jpg （在windows 安装测试，然后端口是9999) 文件a/1.jpg 根本不存在。关键是测试看页面返回情况。

a.用上面的配置请求后的结果

复制代码代码如下:

    400 Bad Request
    
    --------------------------------------------------------------------------------
    
    nginx/0.8.7

从测试中可以看到，优先级最高的是：= 号。它会最先匹配到。
b.接下来我们屏蔽掉 #6 如下：

复制代码代码如下:

    #6
    
    #    location = /a/1.jpg {
    
    #        return 400;
    
    #    }

然后重载配置：D:\nginx-0.8.7> nginx -s reload 并访问：http://localhost:9999/a/1.jpg ，返回以下结果：

复制代码代码如下:
401 Authorization Required
--------------------------------------------------------------------------------
nginx/0.8.7

结论：从这个测试发现，没有“=”情况下，location 后面直接接完整路径是优先匹配。通过测试发现，如果将：location/a/1.jpg 改成：location /a/1\.jpg
会出现意外情况，直接出现是：return 402. 从这一点，可以推测到nginx 匹配优先是：网站路径，并且不带正则表达式的优先。

c.同理测试屏蔽掉 #5 如下：注释及重新加载同上.
访问：http://localhost:9999/a/1.jpg 返回如下结果。

复制代码代码如下:
402 Payment Required
--------------------------------------------------------------------------------
nginx/0.8.7

结论：通过这个测试可以得出：location ^~ 优先级高于 location ~* 优先级，其中：^~ 主要后面接路径。

c.同理测试屏蔽掉 #4 如下：注释及重新加载同上.
访问：http://localhost:9999/a/1.jpg 返回如下结果。

复制代码代码如下:
403 Forbidden
--------------------------------------------------------------------------------
nginx/0.8.7
结论：从以上比较得到，正则优先未带任何匹配符的路径匹配

d.同理测试屏蔽掉 #3 如下：注释及重新加载同上. 并且去掉#2 的注释“#”
访问：http://localhost:9999/a/1.jpg 返回如下结果。

复制代码代码如下:

    404 Not Found
    
    --------------------------------------------------------------------------------
    
    nginx/0.8.7

结论：比较有意思是：/a/ 与 / 应该是同种类型的匹配表达式，可以从中得到，该匹配顺序是，将路径从右匹配，可以推测形如逐个字符，那个先匹配到，就是那个优先。因此得到是：/a/ 优先于 / .

以上测试，是我测试结果，优先级别以以上规律。在实际我们书写中，经常会犯错误。还记得前段时间：80后安全团队曝nginx漏洞其实，个人认为不能算是nginx 漏洞，只是，我们不了解nginx 配制规则，而出现一个配置上面致命漏洞而已。其实，通过上面优先级，我们在配置时候可能也一样经常犯一个致命错误。

复制代码代码如下:
#以下是随便写例子，个人可能各不相同
#假设站点在：/home/www/html/目录下，所有的php 及上传文件都在这个目录下面。
location ~* \.php$ {
proxy_pass http://www.a.com;
}

location /upload/ {
alias /home/www/html/upload/;
}

而且，这个upload 目录，是静态目录，我们想法是下面所有文件是不能够执行的，包括php文件。
如果有用户访问：http://www.a.com/upload/1.css , 会直接显示该css, 但是，如果有用户访问：http://www.a.com/upload/1.php 类似文件，正如上面所说，实际匹配到：~* \.php$ 了。 upload 下面是执行了。
从这个里面，我们发现一个问题，实际没有达到我们要求。静态目录下面的文件一样执行了。这下比较麻烦了。一旦出现个什么上存漏洞的，别人上存了一个php，我们还以为，我们配置是ok的。觉得很安全，缺在不知不觉中被别人打开一扇门。

那么我们怎么样修改呢？

复制代码代码如下:
location ~* \.php$ {
proxy_pass http://www.a.com;
}
location ^~ /upload/ {
alias /home/www/html/upload/;
}

对，就是必须用："^~" ，这样是不是就已经安全了呢。如果你再访问下：http://www.a.com/upload/1.php 你会发现，这段代码源码显示出来了。这个其实对于我们而言也是不想见到了。一段显示源码，在各个搜索引擎，很容易通过所有特殊关键字，搜索到改文件的。
那么我们该怎么样配置安全的上存目录呢？对，你想到了：限制允许的特殊文件类型。

复制代码代码如下:
location ~* \.php$ {
proxy_pass http://www.a.com;
}

location ^~ /upload/ {
if ($request_filename ! ~* \.(jpg|jpeg|gif|png|swf|zip|rar|txt)$) {
return 403;
}
alias /home/www/html/upload/;
}

只要不是满足上面扩展名文件，就自动提示：403 不能访问，有可以避免源代码显示。
刚才从匹配结果已经知道了，同级不带任何匹配符的，是以右为准匹配。那么，如果都用正则表达式，以什么方式匹配呢？
测试如下：(新建配置文件，server 包含)

复制代码代码如下:
location ~* \.jpg$ {
return 402;
}

location ~* 1\.jpg$ {
return 403;
}

结果如下：

复制代码代码如下:
402 Payment Required
--------------------------------------------------------------------------------
nginx/0.8.7

看来是返回的是：402 上面一个呢。按理论说，1.jpg 配置比 .jpg 更准确，看来跟上面说的顺序不同，那它会不会是那个在前以那个匹配呢？我们再测试下：

复制代码代码如下:
location ~* 1\.jpg$ {
return 403;
}

location ~* \.jpg$ {
return 402;
}

返回结果是：

复制代码代码如下:
403 Forbidden
--------------------------------------------------------------------------------
nginx/0.8.7

哈哈，恰好相反，看来我的推断是正确的，如果都是正则，都能够匹配，以配置文件出现顺序来，谁在前谁优先。一口气说了，不知道朋友你，明白我的思路吗？这样的比较会很多很多，大家可以逐一测试。熟悉location 配置，对于熟练运用nginx 是一个必备基础。因为nginx 太灵活，也太流行了。上面的问题，也许朋友你，会遇到。希望对你有帮助。

Nginx 实战系列之二：Nginx 优化中在 Nginx 侧和 Linux 系统侧必须要调整优化的参数详细和最佳推荐配置

Nginx location 匹配规则详细解说（六）

Nginx 的 location 实现了对请求的细分处理，有些 URI 返回静态内容，有些分发到后端服务器等，今天来彻底弄懂它的匹配规则