We read every piece of feedback, and take your input very seriously.
To see all available qualifiers, see our documentation.
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Nginx的配置文件主要分四个部分:
main(全局设置) 这部分的指令将会影响其他部分的设置
在配置文件的顶级main部分,worker角色的工作进程的个数,master进程是接收并分配给worker处理。一般情况下这个值可以设置为CPU的核数,如果开启了ssl和gzip一般设置为CPU数量的2倍,可以减少I/O操作。如果Nginx服务器还有其它服务,可以考虑适当减少。
这个写在events部分,每一个worker进程能并发处理(发起)的最大连接数。Nginx作为反向代理服务器,计算公式最大连接数 = worker_processes * worker_connections / 4,所以这里客户端最大连接数是1024,这个可以增到8192,但不能超过worker_rlimit_nofile。当Nginx作为http服务器时,计算公式里面是除以2.
写在main部分,默认没有设置,可以限制为操作系统最大的限制65535。
写在events部分,在Linux操作系统下,Nginx默认使用epoll事件模型,得益于此,Nginx在Linux操作系统下效率相当高。同时Nginx在OpenBSD或FreeBSD操作系统上采用类似于epoll的高效事件模型kqueue。
http(服务器设置) 提供http服务相关的一些配置参数,如:是否使用keepalive,是否使用gzip进行压缩
开启高效文件传输模式,sendfile指令指定Nginx是否调用sendfile函数来输出文件,减少用户空间到内核空间的上下文切换。对于普通应用设为on,如果用来进行下载等磁盘IO重负载应用,可设置为off,以平衡磁盘与网络I/O处理速度,降低系统的负载。
长连接超时时间,单位是秒,涉及到浏览器的种类、后端服务器的超时设置、操作系统的设置,相对比较敏感。
指定相应客户端的超时时间,这个超时仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,Nginx将会关系连接。
允许客户端请求的最大单文件字节数,一般在上传较大文件时设置限制值
缓冲区代理缓冲用户用户端请求的最大字节数
server(主机设置) http服务上支持若干虚拟主机,每个虚拟主机对应一个server配置项
监听端口,Mac下默认为8080,小于1024的要以root启动。可以为listen:*:8080、listen:127.0.0.1:8080等形式
服务器名,如 localhost、http://www.jd.com,可以通过正则匹配
http服务中,某些特定的URL对应的一系列配置项。详细配置见下文。
定义服务器的默认网站根目录。如果locationURL匹配的是子目录或文件,root没什么作用,一般放在server指令里面或/下。
定义路径下默认访问的文件名,一般跟着root放
location 配置 语法:location [=||*|^=] url
匹配模式: 当没有匹配字符时,首先查找标准 url 匹配,当找到匹配项时,记录最高匹配的 location[1],并继续往下查找正则 url。若能匹配到,则使用第一个匹配到的正则 url下的 location 处理请求,并结束搜索。若不能匹配到,则使用 location[1]下的请求块处理。 最长匹配规则 匹配顺序 (location =) > (location 完整路径) > (location ^~ 路径) > (location ,* 正则顺序) > (location 部分起始路径) > (/) = 标准 url匹配,要求与请求字符串严格相等。当匹配到时,结束搜索 ^~ 标准 url 匹配,不是正则。匹配到最高 location后,停止向下搜索。 ~ 正则 url 匹配,区分大小写 ~* 正则 url 匹配,不区分大小写 例如:
if ($http_origin ~* (https?://(.+.)(example).(com|cn)$) { add_header Access-Control-Allow-Origin http://example.com; } 语法部分 if Syntax: if (condition) { ... } Condition: variable ! dest 当 condition满足以下条件时,则执行条件语句
location /path { alias /some/path/of/dist/; try_files $uri $uri/ /index.html;
if (!-e $request_filename) { rewrite ^/(.*) /path/index.html last; break; }
}
安全配置 CSP config 内容安全策略(CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。在Nginx 上,可以根据需求进行配置:
add_header "Content-Security-Policy" "img-src data: blob: ; script-src 'unsafe-inline' 'unsafe-eval' 'self' .example.com"; XSS Protection 跨站脚本攻击 Cross-site scripting (XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者。在这一点上,可以通过增加头部来减少XSS危害:
add_header "X-XSS-Protection" "1; mode=block"; add_header "X-Frame-Options" "SAMEORIGIN"; add_header "X-Content-Type-Options" "nosniff"; 附录: 1.常用正则
.
?
+
*
\d
^
$
{n}
{n,}
[c]
[a-z]
小括号()之间匹配的内容,可以在后面通过$1来引用,$2表示的是前面第二个()里的内容 2. 常用变量表 $scheme // 协议 http、https $host //请求主机头字段,否则为服务器名称 $hostname //hostname $uri //这个变量指当前的请求URI,不包括任何参数(见$args) 如:/2013/81.html $args //与$query_string相同 等于当中URL的参数(GET),如a=1&b=2 $arg_[name] // 取得参数值 $query_string // 与$args相同 等于当中URL的参数(GET),如a=1&b=2 $request_body // 记录POST过来的数据信息 $request_body_file //客户端请求主体信息的临时文件名 $request_method //客户端请求的动作,通常为GET或POST,如:GET $request_uri //包含请求参数的原始URI,不包含主机名,如:/2013/81.html?a=1&b=2 $http_origin // Origin地址 $http_referer // 引用地址 $http_user_agent // 客户端agent信息,如:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.76 Safari/537.36 $http_cookie //客户端cookie信息 $scheme //HTTP方法(如http,https),如:http $status //请求的响应状态码,如:200 $remote_addr //获取客户端ip $binary_remote_addr //客户端ip(二进制) $remote_port //客户端port,如:50472 $remote_user //已经经过Auth Basic Module验证的用户名 $request //用户请求信息,如:GET ?a=1&b=2 HTTP/1.1 $request_filename //当前请求的文件的路径名,由root或alias和URI request组合而成,如:/2013/81.html $body_bytes_sent // 响应时送出的body字节数数量。即使连接中断,这个数据也是精确的,如:40 $content_length // 等于请求行的“Content_Length”的值 $content_type // 等于请求行的“Content_Type”的值 $document_uri //与$uri相同 这个变量指当前的请求URI,不包括任何参数(见$args) 如:/2013/81.html $document_root //针对当前请求的根路径设置值 $cookie_COOKIE //cookie COOKIE变量的值 $is_args //如果有$args参数,这个变量等于”?”,否则等于”",空值,如? $limit_rate //这个变量可以限制连接速率,0表示不限速 $request_completion //如果请求结束,设置为OK. 当请求未结束或如果该请求不是请求链串的最后一个时,为空(Empty),如:OK $server_protocol //请求使用的协议,通常是HTTP/1.0或HTTP/1.1,如:HTTP/1.1 $server_addr //服务器IP地址,在完成一次系统调用后可以确定这个值 $server_name //服务器名称 $server_port //请求到达服务器的端口号,如:80
()
$1
$2
参考: ngx_http_core_module Seanlook
The text was updated successfully, but these errors were encountered:
No branches or pull requests
Nginx的配置文件主要分四个部分:
main(全局设置)
这部分的指令将会影响其他部分的设置
在配置文件的顶级main部分,worker角色的工作进程的个数,master进程是接收并分配给worker处理。一般情况下这个值可以设置为CPU的核数,如果开启了ssl和gzip一般设置为CPU数量的2倍,可以减少I/O操作。如果Nginx服务器还有其它服务,可以考虑适当减少。
这个写在events部分,每一个worker进程能并发处理(发起)的最大连接数。Nginx作为反向代理服务器,计算公式最大连接数 = worker_processes * worker_connections / 4,所以这里客户端最大连接数是1024,这个可以增到8192,但不能超过worker_rlimit_nofile。当Nginx作为http服务器时,计算公式里面是除以2.
写在main部分,默认没有设置,可以限制为操作系统最大的限制65535。
写在events部分,在Linux操作系统下,Nginx默认使用epoll事件模型,得益于此,Nginx在Linux操作系统下效率相当高。同时Nginx在OpenBSD或FreeBSD操作系统上采用类似于epoll的高效事件模型kqueue。
http(服务器设置)
提供http服务相关的一些配置参数,如:是否使用keepalive,是否使用gzip进行压缩
开启高效文件传输模式,sendfile指令指定Nginx是否调用sendfile函数来输出文件,减少用户空间到内核空间的上下文切换。对于普通应用设为on,如果用来进行下载等磁盘IO重负载应用,可设置为off,以平衡磁盘与网络I/O处理速度,降低系统的负载。
长连接超时时间,单位是秒,涉及到浏览器的种类、后端服务器的超时设置、操作系统的设置,相对比较敏感。
指定相应客户端的超时时间,这个超时仅限于两个连接活动之间的时间,如果超过这个时间,客户端没有任何活动,Nginx将会关系连接。
允许客户端请求的最大单文件字节数,一般在上传较大文件时设置限制值
缓冲区代理缓冲用户用户端请求的最大字节数
server(主机设置)
http服务上支持若干虚拟主机,每个虚拟主机对应一个server配置项
监听端口,Mac下默认为8080,小于1024的要以root启动。可以为listen:*:8080、listen:127.0.0.1:8080等形式
服务器名,如 localhost、http://www.jd.com,可以通过正则匹配
http服务中,某些特定的URL对应的一系列配置项。详细配置见下文。
定义服务器的默认网站根目录。如果locationURL匹配的是子目录或文件,root没什么作用,一般放在server指令里面或/下。
定义路径下默认访问的文件名,一般跟着root放
location 配置
语法:location [=|
|*|^=] url匹配模式: 当没有匹配字符时,首先查找标准 url 匹配,当找到匹配项时,记录最高匹配的 location[1],并继续往下查找正则 url。若能匹配到,则使用第一个匹配到的正则 url下的 location 处理请求,并结束搜索。若不能匹配到,则使用 location[1]下的请求块处理。
最长匹配规则
匹配顺序
(location =) > (location 完整路径) > (location ^~ 路径) > (location
,* 正则顺序) > (location 部分起始路径) > (/)= 标准 url匹配,要求与请求字符串严格相等。当匹配到时,结束搜索
^~ 标准 url 匹配,不是正则。匹配到最高 location后,停止向下搜索。
~ 正则 url 匹配,区分大小写
~* 正则 url 匹配,不区分大小写
例如:
if ($http_origin ~* (https?://(.+.)(example).(com|cn)$) {
add_header Access-Control-Allow-Origin http://example.com;
}
语法部分
if
Syntax: if (condition) { ... }
Condition: variable ! dest
当 condition满足以下条件时,则执行条件语句
rewrite
Syntax: rewrite regex replacement [flag];
Desc:
replacement:可使用$1,$2,$3元字符
flag:last|break|redirect|permanent
last 停止处理,继续向下匹配
break 停止处理,直接跳出 rewrite 指令
redirect 返回临时重定向302(常用来匹配http到 https 协议
permanent 返回永久重定向301
例如对于 Vue router 的 Nginx配置
location /path {
alias /some/path/of/dist/;
try_files $uri $uri/ /index.html;
}
安全配置
CSP config
内容安全策略(CSP, Content Security Policy) 是一个附加的安全层,用于帮助检测和缓解某些类型的攻击,包括跨站脚本 (XSS) 和数据注入等攻击。 这些攻击可用于实现从数据窃取到网站破坏或作为恶意软件分发版本等用途。在Nginx 上,可以根据需求进行配置:
add_header "Content-Security-Policy" "img-src data: blob: ; script-src 'unsafe-inline' 'unsafe-eval' 'self' .example.com";
XSS Protection
跨站脚本攻击 Cross-site scripting (XSS)是一种安全漏洞,攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。当被攻击者登陆网站时就会自动运行这些恶意代码,从而,攻击者可以突破网站的访问权限,冒充受害者。在这一点上,可以通过增加头部来减少XSS危害:
add_header "X-XSS-Protection" "1; mode=block";
add_header "X-Frame-Options" "SAMEORIGIN";
add_header "X-Content-Type-Options" "nosniff";
附录:
1.常用正则
.: 匹配除换行符以外的任意字符?: 重复0次或1次+: 重复1次或更多次*: 重复0次或更多次\d:匹配数字^: 匹配字符串的开始$: 匹配字符串的介绍{n}: 重复n次{n,}: 重复n次或更多次[c]: 匹配单个字符c[a-z]: 匹配a-z小写字母的任意一个小括号
()之间匹配的内容,可以在后面通过$1来引用,$2表示的是前面第二个()里的内容2. 常用变量表
$scheme // 协议 http、https
$host //请求主机头字段,否则为服务器名称
$hostname //hostname
$uri //这个变量指当前的请求URI,不包括任何参数(见$args) 如:/2013/81.html
$args //与$query_string相同 等于当中URL的参数(GET),如a=1&b=2
$arg_[name] // 取得参数值
$query_string // 与$args相同 等于当中URL的参数(GET),如a=1&b=2
$request_body // 记录POST过来的数据信息
$request_body_file //客户端请求主体信息的临时文件名
$request_method //客户端请求的动作,通常为GET或POST,如:GET
$request_uri //包含请求参数的原始URI,不包含主机名,如:/2013/81.html?a=1&b=2
$http_origin // Origin地址
$http_referer // 引用地址
$http_user_agent // 客户端agent信息,如:Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/29.0.1547.76 Safari/537.36
$http_cookie //客户端cookie信息
$scheme //HTTP方法(如http,https),如:http
$status //请求的响应状态码,如:200
$remote_addr //获取客户端ip
$binary_remote_addr //客户端ip(二进制)
$remote_port //客户端port,如:50472
$remote_user //已经经过Auth Basic Module验证的用户名
$request //用户请求信息,如:GET ?a=1&b=2 HTTP/1.1
$request_filename //当前请求的文件的路径名,由root或alias和URI request组合而成,如:/2013/81.html
$body_bytes_sent // 响应时送出的body字节数数量。即使连接中断,这个数据也是精确的,如:40
$content_length // 等于请求行的“Content_Length”的值
$content_type // 等于请求行的“Content_Type”的值
$document_uri //与$uri相同 这个变量指当前的请求URI,不包括任何参数(见$args) 如:/2013/81.html
$document_root //针对当前请求的根路径设置值
$cookie_COOKIE //cookie COOKIE变量的值
$is_args //如果有$args参数,这个变量等于”?”,否则等于”",空值,如?
$limit_rate //这个变量可以限制连接速率,0表示不限速
$request_completion //如果请求结束,设置为OK. 当请求未结束或如果该请求不是请求链串的最后一个时,为空(Empty),如:OK
$server_protocol //请求使用的协议,通常是HTTP/1.0或HTTP/1.1,如:HTTP/1.1
$server_addr //服务器IP地址,在完成一次系统调用后可以确定这个值
$server_name //服务器名称
$server_port //请求到达服务器的端口号,如:80
参考:
ngx_http_core_module
Seanlook
The text was updated successfully, but these errors were encountered: