小心Nginx的add_header指令
时间:5年前 阅读:6083
昨天无聊用curl
查看一个站点的信息,发现返回的头部与想象中的不一样:
HTTP/2 200
date: Thu, 07 Feb 2019 04:26:38 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding, Cookie
cache-control: max-age=3, must-revalidate
last-modified: Thu, 07 Feb 2019 03:54:54 GMT
X-Cache: Miss
server: cloudflare
...
主站点在nginx.conf
中配置了HSTS等header:
add_header Strict-Transport-Security "max-age=63072000; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
但响应头部没有这些header。除了常规的header,仅出现了一个配置配置在location
中的header X-Cache
。
第一印象是CDN过滤了这些header?于是找Cloudflare
的文档,没发现会对这些进行处理。转念一想,CDN过滤这些干啥啊?吃饱了撑的啊?他们又不搞zheng审那一套!
问题转移到Nginx的配置上。打开Google搜索”nginx location add_header”,果然发现不少槽点。点开官网add_header
的文档,有这样的描述(其他信息已省略):
There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.
注意重点在“These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level. ”。即:仅当当前层级中没有add_header
指令才会继承父级设置。所以我的疑问就清晰了:location
中有add_header
,nginx.conf
中的配置被丢弃了。
这是Nginx
的故意行为,说不上是bug或坑。但深入体会这句话,会发现更有意思的现象:仅最近一处的add_header
起作用。http
、server
和location
三处均可配置add_header
,但起作用的是最接近的配置,往上的配置都会失效。
但问题还不仅于此。如果location
中rewrite
到另一个location
,最后结果仅出现第二个的header。例如:
location /foo1 {
add_header foo1 1;
rewrite / /foo2;
}
location /foo2 {
add_header foo2 1;
return 200 "OK";
}
不管请求/foo1
还是/foo2
,最终header只有foo2
:
尽管说得通这是正常行为,但总让人感觉有点勉强和不舒坦:server
丢掉http
配置,location
丢掉server
配置也就算了,但两个location
在同一层级啊!
不能继承父级配置,又不想在当前块重复指令,解决办法可以用include
指令。
参考
- Nginx Module ngx_http_headers_module
- Nginx add_header configuration pitfall
- Be very careful with your add_header in Nginx! You might make your site insecure
- add_header directives in location overwriting add_header directives in server
- nginx 配置之 add_header 的坑
本站声明:网站内容来源于网络,如有侵权,请联系我们https://www.qiquanji.com,我们将及时处理。
微信扫码关注
更新实时通知
网友评论