前言
創(chuàng)新互聯(lián)公司專注于網(wǎng)站建設(shè)|成都網(wǎng)站維護(hù)公司|優(yōu)化|托管以及網(wǎng)絡(luò)推廣����,積累了大量的網(wǎng)站設(shè)計(jì)與制作經(jīng)驗(yàn)��,為許多企業(yè)提供了網(wǎng)站定制設(shè)計(jì)服務(wù)�,案例作品覆蓋成都航空箱等行業(yè)。能根據(jù)企業(yè)所處的行業(yè)與銷售的產(chǎn)品�����,結(jié)合品牌形象的塑造�����,量身策劃品質(zhì)網(wǎng)站���。
大家都知道�����,nginx配置文件通過使用add_header指令來設(shè)置response header���。
昨天無聊用curl查看一個站點(diǎn)的信息�,發(fā)現(xiàn)返回的頭部與想象中的不一樣:
HTTP/2 200
date: Thu, 07 Feb 2019 04:26:38 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding, Cookie
cache-control: max-age=3, must-revalidate
last-modified: Thu, 07 Feb 2019 03:54:54 GMT
X-Cache: Miss
server: cloudflare
...
主站點(diǎn)在nginx.conf中配置了HSTS等header:
add_header Strict-Transport-Security "max-age=63072000; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
但響應(yīng)頭部沒有這些header���。除了常規(guī)的header��,僅出現(xiàn)了一個配置配置在location中的header X-Cache�。
第一印象是cdn過濾了這些header��?于是找Cloudflare的文檔�,沒發(fā)現(xiàn)會對這些進(jìn)行處理。轉(zhuǎn)念一想����,CDN過濾這些干啥啊�?吃飽了撐的啊����?他們又不搞zheng審那一套!
問題轉(zhuǎn)移到Nginx的配置上��。打開Google搜索”nginx location add_header”�����,果然發(fā)現(xiàn)不少槽點(diǎn)����。點(diǎn)開官網(wǎng)add_header的文檔,有這樣的描述(其他信息已省略):
There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.
注意重點(diǎn)在“These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level. ”�����。即:僅當(dāng)當(dāng)前層級中沒有add_header指令才會繼承父級設(shè)置���。所以我的疑問就清晰了:location中有add_header����,nginx.conf中的配置被丟棄了�����。
這是Nginx的故意行為,說不上是bug或坑�。但深入體會這句話,會發(fā)現(xiàn)更有意思的現(xiàn)象:僅最近一處的add_header起作用����。http、server和location三處均可配置add_header����,但起作用的是最接近的配置,往上的配置都會失效����。
但問題還不僅于此。如果location中rewrite到另一個location���,最后結(jié)果僅出現(xiàn)第二個的header��。例如:
location /foo1 {
add_header foo1 1;
rewrite / /foo2;
}
location /foo2 {
add_header foo2 1;
return 200 "OK";
}不管請求/foo1還是/foo2��,最終header只有foo2:
盡管說得通這是正常行為�,但總讓人感覺有點(diǎn)勉強(qiáng)和不舒坦:server丟掉http配置�,location丟掉server配置也就算了,但兩個location在同一層級??!
不能繼承父級配置��,又不想在當(dāng)前塊重復(fù)指令�����,解決辦法可以用include指令�。
參考
- Nginx Module ngx_http_headers_module
- Nginx add_header configuration pitfall
- Be very careful with your add_header in Nginx! You might make your site insecure
- add_header directives in location overwriting add_header directives in server
- nginx 配置之 add_header 的坑
總結(jié)
以上就是這篇文章的全部內(nèi)容了�,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,如果有疑問大家可以留言交流���,謝謝大家對創(chuàng)新互聯(lián)的支持���。
網(wǎng)站欄目:為何要小心Nginx的add_header指令詳解
本文URL:
http://weahome.cn/article/pjsijj.html
重慶分公司
重慶分公司
