Nginx - 配置指令
listen 指令
listen: 用來配置監聽端口。
語法 | listen address[:port] [default_server]...; listen port [default_server]...; |
---|---|
默認值 | listen *:80 | *:8000 |
位置 | server |
listen的設置比較靈活,通過幾個例子把常用的設置方式熟悉下:
listen 127.0.0.1:8000; //listen localhost:8000 監聽指定的IP和端口
listen 127.0.0.1; 監聽指定IP的所有端口
listen 8000; 監聽指定端口上的連接
listen *:8000; 監聽指定端口上的連接
default_server屬性是標識符,用來將此虛擬主機設置成默認主機。如果不指定默認使用的是第一個server。
# 1. 訪問 IP:8080 返回 `This is a error request`
server{
listen 8080;
server_name 127.0.0.1;
location /{
root html;
index index.html;
}
}
server{
listen 8080 default_server;
server_name localhost;
default_type text/plain;
return 444 'This is a error request';
}
# 2. 訪問 IP:8080 返回 第一個server
server{
listen 8080;
server_name 127.0.0.1;
location /{
root html;
index index.html;
}
}
server{
listen 8080;
server_name localhost;
default_type text/plain;
return 444 'This is a error request';
}
server_name 指令
server_name:用來設置虛擬主機服務名稱。
127.0.0.1 、 localhost 、域名[www.baidu.com | www.jd.com]
語法 | server_name name ...; name可以提供多箇中間用空格分隔 |
---|---|
默認值 | server_name ""; |
位置 | server |
關於server_name的配置方式有三種,分別是:
精確匹配
通配符匹配
正則表達式匹配
- 配置方式一: 精確匹配
server {
listen 80;
server_name www.baidu.com;
...
}
- 配置方式二: 通配符匹配
server_name中支持通配符"*",但需要注意的是通配符不能出現在域名的中間,只能出現在首段或尾段。
# 正確配置
server {
listen 80;
server_name *.baidu.cn www.baidu.*;
# www.baidu.cn abc.baidu.cn www.baidu.cn www.baidu.com
...
}
# 錯誤配置
server {
listen 80;
server_name www.*.cn www.baidu.c*
...
}
- 配置方式三: 正則表達式匹配
server_name中可以使用正則表達式,並且使用
~
作爲正則表達式字符串的開始標記。
server{
listen 80;
server_name ~^www\.(\w+)\.com$;
default_type text/plain;
return 200 $1 $2 ..;
}
注意 ~後面不能加空格,括號可以取值
常見的正則表達式:
代碼 | 說明 |
---|---|
^ | 匹配搜索字符串開始位置 |
$ | 匹配搜索字符串結束位置 |
. | 匹配除換行符\n之外的任何單個字符 |
\ | 轉義字符,將下一個字符標記爲特殊字符 |
[xyz] | 字符集,與任意一個指定字符匹配 |
[a-z] | 字符範圍,匹配指定範圍內的任何字符 |
\w | 與以下任意字符匹配 A-Z a-z 0-9 和下劃線,等效於[A-Za-z0-9_] |
\d | 數字字符匹配,等效於[0-9] |
{n} | 正好匹配n次 |
{n,} | 至少匹配n次 |
{n,m} | 匹配至少n次至多m次 |
* | 零次或多次,等效於{0,} |
+ | 一次或多次,等效於{1,} |
? | 零次或一次,等效於{0,1} |
- 匹配執行順序
由於server_name指令支持通配符和正則表達式,因此在包含多個虛擬主機的配置文件中,可能會出現一個名稱被多個虛擬主機的server_name匹配成功,當遇到這種情況,當前的請求交給誰來處理呢?
server{
listen 80;
server_name ~^www\.\w+\.com$;
default_type text/plain;
return 200 'regex_success';
}
server{
listen 80;
server_name www.baidu.*;
default_type text/plain;
return 200 'wildcard_after_success';
}
server{
listen 80;
server_name *.baidu.com;
default_type text/plain;
return 200 'wildcard_before_success';
}
server{
listen 80;
server_name www.baidu.com;
default_type text/plain;
return 200 'exact_success';
}
server{
listen 80 default_server;
server_name _;
default_type text/plain;
return 444 'default_server not found server';
}
結論:
exact_success
wildcard_before_success
wildcard_after_success
regex_success
default_server not found server!!
location 指令
location: 用來設置請求的URI
語法 | location [ = | ~ | ~* | ^~ |@ ] uri{...} |
---|---|
默認值 | — |
位置 | server,location |
uri變量是待匹配的請求字符串,可以不包含正則表達式,也可以包含正則表達式,那麼nginx服務器在搜索匹配location的時候,是先使用不包含正則表達式進行匹配,找到一個匹配度最高的一個,然後在通過包含正則表達式的進行匹配,如果能匹配到直接訪問,匹配不到,就使用剛纔匹配度最高的那個location來處理請求。
- 不帶符號
不帶符號,要求必須以指定模式開始
server {
listen 80;
server_name 127.0.0.1;
location /abc{
default_type text/plain;
return 200 "access success";
}
}
以下訪問都是正確的
http://192.168.188.128/abc
http://192.168.188.128/abc?p1=TOM
http://192.168.188.128/abc/
http://192.168.188.128/abcdef
- 帶符號 =
= : 用於不包含正則表達式的uri前,必須與指定的模式精確匹配
server {
listen 80;
server_name 127.0.0.1;
location =/abc{
default_type text/plain;
return 200 "access success";
}
}
可以匹配到
http://192.168.188.128/abc
http://192.168.188.128/abc?p1=TOM
匹配不到
http://192.168.188.128/abc/
http://192.168.188.128/abcdef
- 帶符號 ~ or ~* or ^~
~ : 用於表示當前uri中包含了正則表達式,並且區分大小寫。
~*: 用於表示當前uri中包含了正則表達式,並且不區分大小寫。
^~: 用於不包含正則表達式的uri前,功能和不加符號的一致,唯一不同的是,如果模式匹配,那麼就停止搜索其他模式了。
# 如果uri包含了正則表達式,需要用上述兩個符合來標識
# ~
server {
listen 80;
server_name 127.0.0.1;
location ~^/abc\w${
default_type text/plain;
return 200 "access success";
}
}
# ~*
server {
listen 80;
server_name 127.0.0.1;
location ~*^/abc\w${
default_type text/plain;
return 200 "access success";
}
}
# ^~
server {
listen 80;
server_name 127.0.0.1;
location ^~/abc{
default_type text/plain;
return 200 "access success";
}
}
root/alias 指令
root
root:設置請求的根目錄,設置存放html的位置。
語法 | root path; |
---|---|
默認值 | root html; |
位置 | http、server、location |
path爲Nginx服務器接收到請求以後查找資源的根目錄路徑。
server{
listen 8080;
server_name 127.0.0.1;
location /images {
# 查找 root /usr/local/nginx/html 目錄中的index.html
root /usr/local/nginx/html;
index index.html;
}
}
# 訪問index.html的路徑爲: http://192.168.188.128/images
alias
alias:用來更改location的URI。
語法 | alias path; |
---|---|
默認值 | — |
位置 | location |
server{
listen 8080;
server_name 127.0.0.1;
location /images {
# 使用 `/usr/local/nginx/html` 替換 /images URL爲 http://IP:8080/images ==> http://IP:8080/usr/local/nginx/html
alias /usr/local/nginx/html;
index index.html;
}
}
# 再次訪問 http://192.168.188.128/images 發現頁面出現404錯誤 可通過error.log查看日誌
alias 和 root 區別
# 1. 兩者的區別
- root的處理結果是: root路徑+location路徑
/usr/local/nginx/html/images/mv.png
- alias的處理結果是:使用alias路徑替換location路徑
/usr/local/nginx/html/images
# 2. 兩者以 / 結尾
- 如果location路徑是以/結尾,則alias也必須是以/結尾,root沒有要求。
# 3. root / alias 總結
root的處理結果是: root路徑+location路徑
alias的處理結果是:使用alias路徑替換location路徑
alias是一個目錄別名的定義,root則是最上層目錄的含義。
如果location路徑是以/結尾,則alias也必須是以/結尾,root沒有要求
總的來說,使用root即可,alias瞭解即可。
error_page 指令
error_page: 設置網站的錯誤頁面
語法 | error_page code ... [=[response]] uri; |
---|---|
默認值 | — |
位置 | http、server、location...... |
# 1. 指定具體跳轉的地址 訪問不存在網頁 則跳轉到baidu
server {
error_page 404 http://www.baidu.cn;
}
# 2. 指定重定向地址
server{
error_page 404 /50x.html;
error_page 500 502 503 504 /50x.html;
location =/50x.html{
root html;
}
}
# 3. 使用location的@符合完成錯誤信息展示
server{
error_page 404 @jump_to_error;
location @jump_to_error {
default_type text/plain;
return 404 'Not Found Page...';
}
}
# 4. 使用 = 將響應代碼更改爲另外響應代碼
- `=[response]`的作用是用來將響應代碼更改爲另外一個
server{
error_page 404 =200 /50x.html;
location =/50x.html{
root html;
}
}
這樣的話,當返回404找不到對應的資源的時候,在瀏覽器上可以看到,最終返回的狀態碼是200,這塊需要注意下,編寫error_page後面的內容,404後面需要加空格,200前面不能加空格
Nginx - 配置優化
Nginx對靜態資源如何進行優化配置。從三個屬性配置進行優化:
sendfile on;
tcp_nopush on;
tcp_nodeplay on;
sendfile
sendfile: 用來開啓高效的文件傳輸模式。
語法 | sendfile on |off; |
---|---|
默認值 | sendfile off; |
位置 | http、server、location... |
請求靜態資源的過程:客戶端通過網絡接口向服務端發送請求,操作系統將這些客戶端的請求傳遞給服務器端應用程序,服務器端應用程序會處理這些請求,請求處理完成以後,操作系統還需要將處理得到的結果通過網絡適配器傳遞回去。
server {
listen 80;
server_name localhost;
location / {
root html;
index index.html;
}
}
在html目錄下有一個welcome.html頁面,訪問地址
http://192.168.188.128/welcome.html
tcp_nopush
tcp_nopush: 該指令必須在sendfile打開的狀態下才會生效,主要是用來提升網絡包的傳輸'效率'。
語法 | tcp_nopush on|off; |
---|---|
默認值 | tcp_nopush off; |
位置 | http、server、location |
tcp_nodelay
tcp_nodelay:該指令必須在keep-alive連接開啓的情況下才生效,來提高網絡包傳輸的'實時性'。
語法 | tcp_nodelay on|off; |
---|---|
默認值 | tcp_nodelay on; |
位置 | http、server、location |
tcp_nopush 和 tcp_nodelay 區別
"tcp_nopush"和”tcp_nodelay“看起來是"互斥的",那麼爲什麼要將這兩個值都打開,這個大家需要知道的是在linux2.5.9以後的版本中兩者是可以兼容的,三個指令都開啓的好處是,sendfile可以開啓高效的文件傳輸模式,tcp_nopush開啓可以確保在發送到客戶端之前數據包已經充分“填滿”, 這大大減少了網絡開銷,並加快了文件發送的速度。 然後,當它到達最後一個可能因爲沒有“填滿”而暫停的數據包時,Nginx會忽略tcp_nopush參數, 然後,tcp_nodelay強制套接字發送數據。由此可知,TCP_NOPUSH可以與TCP_NODELAY一起設置,它比單獨配置TCP_NODELAY具有更強的性能。所以我們可以使用如下配置來優化Nginx靜態資源的處理
nginx.conf
http{
sendfile on;
tcp_nopush on;
tcp_nodelay on;
}
Nginx - 配置資源壓縮
在Nginx的配置文件中可以通過配置gzip來對靜態資源進行壓縮,相關的指令可以配置在http塊、server塊和location塊中,Nginx可以通過。
# 1. 模塊
ngx_http_gzip_module 模塊
ngx_http_gzip_static_module 模塊
ngx_http_gunzip_module 模塊
# 2. 內容
- Gzip各模塊支持的配置指令
- Gzip壓縮功能的配置
- Gzip和sendfile的衝突解決
- 瀏覽器不支持Gzip的解決方案
Gzip 模塊配置
Gzip模塊 指令都來自ngx_http_gzip_module模塊,該模塊會在nginx安裝的時候內置到nginx的安裝環境中,也就是說我們可以直接使用這些指令。
gzip 指令
gzip: 該指令用於開啓或者關閉gzip功能
語法 | gzip on|off; |
---|---|
默認值 | gzip off; |
位置 | http、server、location... |
注意只有該指令爲打開狀態,下面的指令纔有效果
http{
gzip on;
}
gzip_types 指令
gzip_types: 該指令可以根據響應頁的MIME類型選擇性地開啓Gzip壓縮功能
語法 | gzip_types mime-type ...; |
---|---|
默認值 | gzip_types text/html; |
位置 | http、server、location |
所選擇的值可以從mime.types文件中進行查找,也可以使用"*"代表所有。
http{
gzip_types application/javascript;
}
gzip_comp_level 指令
gzip_comp_level : 該指令用於設置Gzip壓縮程度,級別從1-9; 1表示壓縮程度最低,效率最高,9剛好相反,壓縮程度最高,但是效率最低最費時間。
語法 | gzip_comp_level level; |
---|---|
默認值 | gzip_comp_level 1; |
位置 | http、server、location |
http{
# 建議設置到中間即可 推薦6
gzip_comp_level 6;
}
gzip_vary 指令
gzip_vary: 該指令用於設置使用Gzip進行壓縮發送是否攜帶 "Vary:Accept-Encoding" 頭域的響應頭部。主要是告訴接收方,所發送的數據經過了Gzip壓縮處理。
語法 | gzip_vary on|off; |
---|---|
默認值 | gzip_vary off; |
位置 | http、server、location |
gzip_buffers指令
gzip_buffers: 該指令用於處理請求壓縮的緩衝區數量和大小。
語法 | gzip_buffers number size; |
---|---|
默認值 | gzip_buffers 32 4k|16 8k; |
位置 | http、server、location |
其中number:指定Nginx服務器向系統申請緩存空間個數,size指的是每個緩存空間的大小。主要實現的是申請number個每個大小爲size的內存空間。這個值的設定一般會和服務器的操作系統有關,所以建議此項不設置,使用默認值即可。
gzip_buffers 4 16K; #緩存空間大小
gzip_disable 指令
gzip_disable: 針對不同種類客戶端發起的請求,可以選擇性地開啓和關閉Gzip功能。
語法 | gzip_disable regex ...; |
---|---|
默認值 | — |
位置 | http、server、location |
regex:根據客戶端的瀏覽器標誌(user-agent)來設置,支持使用正則表達式。指定的瀏覽器標誌不使用Gzip.該指令一般是用來排除一些明顯不支持Gzip的瀏覽器。
gzip_disable "MSIE [1-6]\.";
gzip_http_version 指令
gzip_http_version: 針對不同的HTTP協議版本,可以選擇性地開啓和關閉Gzip功能。
語法 | gzip_http_version 1.0|1.1; |
---|---|
默認值 | gzip_http_version 1.1; |
位置 | http、server、location |
該指令是指定使用Gzip的HTTP最低版本,該指令一般採用默認值即可。
gzip_min_length 指令
gzip_min_length: 該指令針對傳輸數據的大小,可以選擇性地開啓和關閉Gzip功能
語法 | gzip_min_length length; |
---|---|
默認值 | gzip_min_length 20; |
位置 | http、server、location |
nignx計量大小的單位:bytes[字節] / kb[千字節] / M[兆]
例如: 1024 / 10k|K / 10m|M
Gzip壓縮功能對大數據的壓縮效果明顯,但是如果要壓縮的數據比較小的化,可能出現越壓縮數據量越大的情況,因此我們需要根據響應內容的大小來決定是否使用Gzip功能,響應頁面的大小可以通過頭信息中的Content-Length
來獲取。但是如何使用了Chunk編碼動態壓縮,該指令將被忽略。建議設置爲1K或以上。
gzip_proxied 指令
gzip_proxied: 該指令設置是否對服務端返回的結果進行Gzip壓縮。
語法 | gzip_proxied off|expired|no-cache| no-store|private|no_last_modified|no_etag|auth|any; |
---|---|
默認值 | gzip_proxied off; |
位置 | http、server、location |
off - 關閉Nginx服務器對後臺服務器返回結果的Gzip壓縮
expired - 啓用壓縮,如果header頭中包含 "Expires" 頭信息
no-cache - 啓用壓縮,如果header頭中包含 "Cache-Control:no-cache" 頭信息
no-store - 啓用壓縮,如果header頭中包含 "Cache-Control:no-store" 頭信息
private - 啓用壓縮,如果header頭中包含 "Cache-Control:private" 頭信息
no_last_modified - 啓用壓縮,如果header頭中不包含 "Last-Modified" 頭信息
no_etag - 啓用壓縮 ,如果header頭中不包含 "ETag" 頭信息
auth - 啓用壓縮 , 如果header頭中包含 "Authorization" 頭信息
any - 無條件啓用壓縮
Gzip 壓縮配置
gzip on; #開啓gzip功能
gzip_types *; #壓縮源文件類型,根據具體的訪問資源類型設定
gzip_comp_level 6; #gzip壓縮級別
gzip_min_length 1024; #進行壓縮響應頁面的最小長度,content-length
gzip_buffers 4 16K; #緩存空間大小
gzip_http_version 1.1; #指定壓縮響應所需要的最低HTTP請求版本
gzip_vary on; #往頭信息中添加壓縮標識
gzip_disable "MSIE [1-6]\."; #對IE6以下的版本都不進行壓縮
gzip_proxied off; #nginx作爲反向代理壓縮服務端返回數據的條件
這些配置在很多地方可能都會用到,所以我們可以將這些內容抽取到一個配置文件中,然後通過include指令把配置文件再次加載到nginx.conf配置文件中,方法使用。
nginx_gzip.conf
gzip on;
gzip_types *;
gzip_comp_level 6;
gzip_min_length 1024;
gzip_buffers 4 16K;
gzip_http_version 1.1;
gzip_vary on;
gzip_disable "MSIE [1-6]\.";
gzip_proxied off;
nginx.conf
include nginx_gzip.conf;
Gzip 和 sendfile 共存問題
開啓sendfile以後,在讀取磁盤上的靜態資源文件的時候,可以減少拷貝的次數,可以不經過用戶進程將靜態文件通過網絡設備發送出去,但是Gzip要想對資源壓縮,是需要經過用戶進程進行操作的。所以如何解決兩個設置的共存問題。
使用ngx_http_gzip_static_module模塊的gzip_static指令來解決。
gzip_static 指令
gzip_static: 檢查與訪問資源同名的.gz文件時,response中以gzip相關的header返回.gz文件的內容。
語法 | gzip_static on | off | always; |
---|---|
默認值 | gzip_static off; |
位置 | http、server、location |
nginx.conf
http{
gzip_static on;
}
添加上述命令後,會報一個錯誤,unknown directive "gzip_static"
主要的原因是Nginx默認是沒有添加ngx_http_gzip_static_module模塊;添加gzip_static模塊即可。
添加 ngx_http_gzip_static_module 模塊
- 查詢 Nginx 配置參數
$ nginx -V
- nginx 二進制文件更名
# 將 nginx 安裝目錄下 sbin 目錄中的 nginx 二進制文件進行更名
# nginx 默認安裝路徑爲 usr/local 若指定過安裝目錄,則進入對應的nginx目錄
$ cd /usr/local/nginx/sbin
$ mv nginx nginxold
- 進入 Nginx 壓縮包目錄
$ pwd
/opt/nginx/core/nginx-1.16.1
$ ls -l
drwxr-xr-x. 6 1001 1001 4096 May 31 23:21 auto
-rw-r--r--. 1 1001 1001 296463 Aug 13 2019 CHANGES
-rw-r--r--. 1 1001 1001 452171 Aug 13 2019 CHANGES.ru
drwxr-xr-x. 2 1001 1001 168 May 31 23:21 conf
- make clean
執行make clean清空之前編譯的內容
./configure --prefix=/usr/local/nginx --sbin-path=/usr/local/nginx/sbin/nginx \
--modules-path=/usr/local/nginx/modules --conf-path=/usr/local/nginx/conf/nginx.conf \
--error-log-path=/usr/local/nginx/logs/error.log \
--http-log-path=/usr/local/nginx/logs/access.log \
--pid-path=/usr/local/nginx/logs/nginx.pid --lock-path=/usr/local/nginx/logs/nginx.lock \
--with-http_gzip_static_module
- make
使用make命令進行編譯
$ make
- 移動 nginx 二進制文件
將objs目錄下的nginx二進制執行文件移動到nginx安裝目錄下的sbin目錄中
# /usr/local/nginx/sbin 爲 nginx 安裝目錄 若指定其它安裝目錄,修改成對應的即可
$ mv objs/nginx /usr/local/nginx/sbin/
- 執行更新命令
$ make upgrade
gzip_static 使用
http{
gzip_static on;
}
- 訪問
- 將需要壓縮的文件使用gzip命令壓縮
gzip xxx
- 訪問
Nginx - 配置緩存
緩存概念
- 緩存
緩存(cache),原始意義是指訪問速度比一般隨機存取存儲器(RAM)快的一種高速存儲器,通常它不像系統主存那樣使用DRAM技術,而使用昂貴但較快速的SRAM技術。緩存的設置是所有現代計算機系統發揮高性能的重要因素之一。
- web緩存
Web緩存是指一個Web資源(如html頁面,圖片,js,數據等)存在於Web服務器和客戶端(瀏覽器)之間的副本。緩存會根據進來的請求保存輸出內容的副本;當下一個請求來到的時候,如果是相同的URL,緩存會根據緩存機制決定是直接使用副本響應訪問請求,還是向源服務器再次發送請求。比較常見的就是瀏覽器會緩存訪問過網站的網頁,當再次訪問這個URL地址的時候,如果網頁沒有更新,就不會再次下載網頁,而是直接使用本地緩存的網頁。只有當網站明確標識資源已經更新,瀏覽器纔會再次下載網頁。
- 緩存種類
# 客戶端緩存
- 瀏覽器緩存
# 服務端緩存
- Nginx
- Redis
- Memcached
- 緩存優點
- 成本最低的一種緩存實現
- 減少網絡帶寬消耗
- 降低服務器壓力
- 減少網絡延遲,加快頁面打開速度
瀏覽器緩存執行流程
HTTP協議中和頁面緩存相關的字段:
header | 說明 |
---|---|
Expires | 緩存過期的日期和時間 |
Cache-Control | 設置和緩存相關的配置信息 |
Last-Modified | 請求資源最後修改時間 |
ETag | 請求變量的實體標籤的當前值,比如文件的MD5值 |
# Http 緩存執行流程
- 1. 用戶首次通過瀏覽器發送請求到服務端獲取數據,客戶端是沒有對應的緩存,所以需要發送request請求來獲取數據;
- 2. 服務端接收到請求後,獲取服務端的數據及服務端緩存的允許後,返回200的成功狀態碼並且在響應頭上附上對應資源以及緩存信息;
- 3. 當用戶再次訪問相同資源的時候,客戶端會在瀏覽器的緩存目錄中查找是否存在響應的緩存文件
- 4. 如果沒有找到對應的緩存文件,則走(2)步
- 5. 如果有緩存文件,接下來對緩存文件是否過期進行判斷,過期的判斷標準是(Expires),
- 6. 如果沒有過期,則直接從本地緩存中返回數據進行展示(強緩存)
- 7. 如果Expires過期,接下來需要判斷緩存文件是否發生過變化
- 8. 判斷的標準有兩個,一個是ETag(Entity Tag),一個是Last-Modified
- 9. 判斷結果是未發生變化,則服務端返回304,直接從緩存文件中獲取數據(弱緩存)
- 10. 如果判斷是發生了變化,重新從服務端獲取數據,並根據緩存協商(服務端所設置的是否需要進行緩存數據的設置)來進行數據緩存。
# 強緩存 和 弱緩存 的區別:
瀏覽器緩存指令
expires 指令
expires: 該指令用來控制頁面緩存的作用。可以通過該指令控制HTTP應答中的“Expires"和”Cache-Control"。
語法 | expires [modified] time expires epoch|max|off; |
---|---|
默認值 | expires off; |
位置 | http、server、location |
nginx.conf
location / {
# 可設置爲空、1000、-1000、max
expires 空|1000|-1000|max;
root html;
index index.html index.htm;
}
參數詳解
**time**:可以整數也可以是負數,指定過期時間,如果是負數,Cache-Control則爲no-cache,如果爲整數或0,則Cache-Control的值爲max-age=time;
**epoch**: 指定Expires的值爲'1 January,1970,00:00:01 GMT'(1970-01-01 00:00:00),Cache-Control的值no-cache
**max**:指定Expires的值爲'31 December2037 23:59:59GMT' (2037-12-31 23:59:59) ,Cache-Control的值爲10年
**off**:默認不緩存。
add_header 指令
add_header: 用來添加指定的響應頭和響應值。
語法 | add_header name value [always]; |
---|---|
默認值 | — |
位置 | http、server、location... |
Cache-Control作爲響應頭信息,可以設置如下值:
緩存響應指令:
Cache-control: must-revalidate
Cache-control: no-cache
Cache-control: no-store
Cache-control: no-transform
Cache-control: public
Cache-control: private
Cache-control: proxy-revalidate
Cache-Control: max-age=<seconds>
Cache-control: s-maxage=<seconds>
指令 | 說明 |
---|---|
must-revalidate | 可緩存但必須再向源服務器進行確認 |
no-cache | 緩存前必須確認其有效性(弱緩存) |
no-store | 不緩存請求或響應的任何內容 |
no-transform | 代理不可更改媒體類型 |
public | 可向任意方提供響應的緩存 |
private | 僅向特定用戶返回響應 |
proxy-revalidate | 要求中間緩存服務器對緩存的響應有效性再進行確認 |
max-age=<秒> | 響應最大Age值 |
s-maxage=<秒> | 公共緩存服務器響應的最大Age值 |
nginx.conf
location / {
expires max;
add_header Cache-Control no-store;
root html;
index index.html index.htm;
}
Nginx - 配置跨域請求
同源策略
同源策略是瀏覽器的行爲,是爲了保護本地數據不被JavaScript代碼獲取回來的數據污染,因此攔截的是客戶端發出的請求回來的數據接收,即請求發送了,服務器響應了,但是無法被瀏覽器接收。
同源: 協議(HTTP、HTTPS)、域名(IP)、端口相同即爲同源。
# 1. 不同源 協議不同
http://192.168.200.131/user/1
https://192.168.200.131/user/1
# 2. 不同源 IP不同
http://192.168.200.131/user/1
http://192.168.200.132/user/1
# 3. 不同源 端口不同
http://192.168.200.131/user/1
http://192.168.200.131:8080/user/1
# 4. 不同源 域名不同
http://www.nginx.com/user/1
http://www.nginx.org/user/1
# 5. 不同源 端口不同
http://192.168.200.131/user/1
http://192.168.200.131:8080/user/1
# 6. 同源 域名 端口 協議 都一致
http://www.nginx.org:80/user/1
http://www.nginx.org/user/1
跨域問題
- 問題描述
有兩臺服務器分別爲A,B,如果從服務器A的頁面發送異步請求到服務器B獲取數據,如果服務器A和服務器B不滿足同源策略,則就會出現跨域問題。
- 問題解決
使用add_header指令,以用來添加一些頭信息。
語法 | add_header name value... |
---|---|
默認值 | — |
位置 | http、server、location |
此處用來解決跨域問題,需要添加兩個頭信息,一個是Access-Control-Allow-Origin
,Access-Control-Allow-Methods
。
Access-Control-Allow-Origin: 直譯過來是允許跨域訪問的源地址信息,可以配置多個(多個用逗號分隔),也可以使用*
代表所有源。
Access-Control-Allow-Methods:直譯過來是允許跨域訪問的請求方式,值可以爲 GET POST PUT DELETE...,可以全部設置,也可以根據需要設置,多個用逗號分隔。
Access-Control-Allow-Credentials: 跨域請求默認不包含cookie,設置爲true可以包含 cookie。
Access-Control-Expose-Headers: 跨域請求暴露的字段。
CORS請求時,XMLHttpRequest對象的getResponseHeader()方法只能拿到6個基本字段: Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如 果想拿到其他字段,就必須在Access-Control-Expose-Headers裏面指定。
Access-Control-Max-Age: 表明該響應的有效時間爲多少秒。在有效時間內,瀏覽器無 須爲同一請求再次發起預檢請求。請注意,瀏覽器自身維護了一個最大有效時間,如果 該首部字段的值超過了最大有效時間,將不會生效。
nginx.conf
location /getUser{
add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE;
default_type application/json;
return 200 '{"id":1,"name":"TOM","age":18}';
}
Nginx - 配置資源盜鏈
資源盜鏈描述
資源盜鏈指的是此內容不在自己服務器上,而是通過技術手段,繞過別人的限制將別人的內容放到自己頁面上最終展示給用戶。
以此來盜取大網站的空間和流量。簡而言之就是用別人的東西成就自己的網站。
資源防盜鏈原理
Referer(可僞造referer)
HTTP的頭信息Referer,當瀏覽器向web服務器發送請求的時候,一般都會帶上Referer,來告訴瀏覽器該網頁是從哪個頁面鏈接過來的。
後臺服務器可以根據獲取到的這個Referer信息來判斷是否爲自己信任的網站地址,如果是則放行繼續訪問,如果不是則可以返回403(服務端拒絕訪問)的狀態信息。
- 防盜鏈實現
Nginx 需要提前加載
ngx_http_referer_module
模塊。
valid_referers:nginx會通就過查看referer自動和valid_referers後面的內容進行匹配,如果匹配到了就將$invalid_referer變量置0,如果沒有匹配到,則將$invalid_referer變量置爲1,匹配的過程中不區分大小寫。
語法 | valid_referers none|blocked|server_names|string... |
---|---|
默認值 | — |
位置 | server、location |
none: 如果Header中的Referer爲空,允許訪問。
blocked:在Header中的Referer不爲空,但是該值被防火牆或代理進行僞裝過,如不帶"http://" 、"https://"等協議頭的資源允許訪問。
server_names:指定具體的域名或者IP。
string: 可以支持正則表達式和*的字符串。如果是正則表達式,需要以~
開頭表示。
nginx.conf
location ~*\.(png|jpg|gif){
valid_referers none blocked www.baidu.com 192.168.200.222 *.example.com example.* www.example.org ~\.google\.;
if ($invalid_referer){
return 403;
}
root /usr/local/nginx/html;
}
# 注意:爲什麼要none呢?因爲如果通過瀏覽器直接訪問資源,referer就是爲空,所以這種方式不能徹底阻擋住盜鏈。
- 目錄防盜鏈
nginx.conf
location /images {
valid_referers none blocked www.baidu.com 192.168.200.222 *.example.com example.* www.example.org ~\.google\.;
if ($invalid_referer){
return 403;
}
root /usr/local/nginx/html;
}
加密簽名
Referer的限制比較粗略,若使用Burp Suite隨意加一個 Referer 便無法防盜鏈了。故需要使用加密簽名方式進行防盜鏈。
Nginx 需要提前加載
ngx_http_accesskey_module
模塊。