[轉帖]Nginx基於站點目錄和文件的URL訪問控制 - 配置筆記

https://www.cnblogs.com/kevingrace/p/14000668.html

 

對於爲用戶服務的大多數公司而言，把控用戶權限是一件十分重要的事情。通過配置Nginx來禁止訪問上傳資源目錄下的PHP、shell、Python等程序文件，這樣用戶即使上傳了這些文件也沒法去執行，以此來加強網站安全。

1. 限制禁止解析指定目錄下的制定程序

1 2 3 4 5 6 7 8 9 10 11

location ~ ^/images/.*.(php|php5|.sh|.pl|.py)$ {   deny all; }   location ~ ^/static/.*.(php|php5|.sh|.pl|.py)$ {   deny all; }   location ~* ^/data/(attachment|avatar)/.*.(php|php5)$ {   deny all; }

2. 禁止訪問Nginx的root根目錄下的某些文件

1 2 3 4 5 6 7 8 9 10 11 12

location ~*.(txt|doc)${   if (-f $request_filename) {     root /data/www/www;     #還可以使用"rewrite ...."重定向某個URL     break;   } }   location ~*.(txt|doc)${     root /data/www/www;     deny all; }

需要注意：如果有php匹配配置，上面的限制配置應該放在php匹配的前面

1 2 3 4 5

location ~.*.(php|php5)?${ 　 fastcgi_pass 127.0.0.1:9000 　 fastcgi_index index.php 　 include fcgi.conf; }

3. 禁止指定目錄或path匹配的訪問

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

location ~ ^/(static)/ {         deny all; }   location ~ ^/static {         deny all; }     #禁止訪問目錄並返回指定的http狀態碼 location /admin/ {   return 404; } location /templates/ {   return 403; }

4. 限制網站來源IP訪問。比如禁止某目錄讓外界訪問，但允許某IP訪問該目

1 2 3 4

location ~ ^/order/ {   allow 172.16.60.23;   deny all; }

還可以使用if來限制客戶端ip訪問（即添加白名單限制）

1 2 3 4 5 6 7

if ( $remote_addr = 172.16.60.28 ) {     return 403; }   if ( $remote_addr = 172.16.60.32 ) {     set $allow_access_root 'true'; }