Nginx中default_server指令問題詳解
目錄
- 序言
- 1.基本介紹
- 2.顯示定義一個 default server
- 3.指定server_name 為 ip
- 4. 隱式的 default server
- 5.風險問題
- 6.總結
- 補充:nginx 的default_server原理
序言
文章標記顏色說明:
- 黃色:重要標題
- 紅色:用來標記結論
- 綠色:用來標記一級論點
- 藍色:用來標記二級論點
1.基本介紹
nginx 的 default_server 指令
可以定義默認的 server 出處理一些沒有成功匹配 server_name 的請求
- 1.顯示定義
- 2.指定Server_name
- 3.隱式定義
這三種方式都可禁止 ip 直接訪問
且 1,3同時可以禁止未綁定域名的訪問(比如泛解析了主域名)。
如果沒有顯式定義,則會選取第一個定義的 server 作為 default_server。
2.顯示定義一個 default server
http { # 顯示的定義一個 default server server {listen 80 default_server;server_name _;return 403; # 403 forbidden }}3.指定server_name 為 ip
http { # 直接指定 ip server_name server { listen 80; server_name 192.168.xxx.xxx; return 403; # 403 forbidden } }4. 隱式的 default server
在沒有顯式定義 default server 時,nginx 會將配置的第一個 server 作為 default server,即當請求沒有匹配任何 server_name 時,此 server 會處理此請求。
所以,當直接使用 ip 訪問時會進入第一個 server 處理,返回403 forbidden。
http { # 如果沒有顯式聲明 default server 則第一個 server 會被隱式的設為 default server server {listen 80;server_name _; # _ 并不是重點 __ 也可以 ___也可以return 403; # 403 forbidden } }Tips:
這里,server_name 設為 '_',其實也可以設置為其他。
'_' 只是作為一個和業務域名無關的請求回收服務,不要認為一定要設置為 '_',就好
如果線上的業務都是明確的業務域名訪問,那泛解析造成的一些非業務域名或ip訪問都會被這個 sever 回收處理。
5.風險問題
問題描述:
nginx 不配置 default_server ,會出現一些很詭異問題
有時候,代理機器沒有配置流,居然可以訪問正常,有時候,配置明明刪除了,卻也能訪問
原因:
沒有配置default_server
解決方案:
- 在代理機做分發的時候一定要反復確認是否有映射過去
- 設置一個 default_server
6.總結
nginx 批量載入配置 conf 時會按 ASCII (American Standard Code for Information Interchange)排序載入,
這就會以
- server_a.conf
- server_b.conf
- server_c.conf
的順序載入,如果沒有生命 default_server 的話,那 server_a 會作為默認的 server 去處理 未綁定域名/ip 的請求。
建議顯示指定 default server,因為在配置虛擬主機或多業務時,會存有多個 server 配置文件
如果使用隱式方式選取第一個被載入的 server 作為 default server 的話,還要時刻去確認誰是被第一個載入的...存在一定的風險...
補充:nginx 的default_server原理
1.配置文件上面的server_name配置文件首先要遵循default_server的原則,需要得到驗證才使用server_name配置的域名才能生效。
2.所以我們需要加default_server 加證書驗證(證書隨便,只是做檢驗用的)
3.這樣做的目的就是防止惡意解析,如果不做這個策略。別的域名會解析到我們的IP。
到此這篇關于Nginx中default_server指令問題的文章就介紹到這了,更多相關Nginx default_server問題內容請搜索以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持!
網公網安備