Nginx

Posted 2021-06-08 HOsystem

目录

• Nginx - 配置指令
  • listen 指令
  • server_name 指令
  • location 指令
  • root/alias 指令
    • root
    • alias
    • alias 和 root 区别
  • error_page 指令
• Nginx - 配置优化
  • sendfile
  • tcp_nopush
  • tcp_nodelay
  • tcp_nopush 和 tcp_nodelay 区别
• Nginx - 配置资源压缩
  • Gzip 模块配置
    • gzip 指令
    • gzip_types 指令
    • gzip_comp_level 指令
    • gzip_vary 指令
    • gzip_buffers指令
    • gzip_disable 指令
    • gzip_http_version 指令
    • gzip_min_length 指令
    • gzip_proxied 指令
  • Gzip 压缩配置
  • Gzip 和 sendfile 共存问题
    • gzip_static 指令
    • 添加 ngx_http_gzip_static_module 模块
    • gzip_static 使用
• Nginx - 配置缓存
  • 缓存概念
  • 浏览器缓存执行流程
  • 浏览器缓存指令
    • expires 指令
    • add_header 指令
• Nginx - 配置跨域请求
  • 同源策略
  • 跨域问题
• Nginx - 配置资源盗链
  • 资源盗链描述
  • 资源防盗链原理
    • Referer(可伪造referer)
    • 加密签名
• 参考文档

---

nginx - 配置指令

listen 指令

官方文档 - 点我传送

listen: 用来配置监听端口。

语法	listen address[:port] [default_server]...; listen port [default_server]...;
默认值	listen *:80 | *:8000
位置	server

listen的设置比较灵活，通过几个例子把常用的设置方式熟悉下：

listen 127.0.0.1:8000;  //listen localhost:8000 监听指定的IP和端口
listen 127.0.0.1;	监听指定IP的所有端口
listen 8000;	监听指定端口上的连接
listen *:8000;	监听指定端口上的连接

default_server属性是标识符，用来将此虚拟主机设置成默认主机。如果不指定默认使用的是第一个server。

# 1. 访问 IP:8080 返回 `This is a error request`
server{
	listen 8080;
	server_name 127.0.0.1;
	location /{
		root html;
		index index.html;
	}
}
server{
	listen 8080 default_server;
	server_name localhost;
	default_type text/plain;
	return 444 \'This is a error request\';
}

# 2. 访问 IP:8080 返回 第一个server
server{
	listen 8080;
	server_name 127.0.0.1;
	location /{
		root html;
		index index.html;
	}
}
server{
	listen 8080;
	server_name localhost;
	default_type text/plain;
	return 444 \'This is a error request\';
}

server_name 指令

官方文档 - 点我传送

server_name：用来设置虚拟主机服务名称。

127.0.0.1 、 localhost 、域名[www.baidu.com | www.jd.com]

语法	server_name name ...; name可以提供多个中间用空格分隔
默认值	server_name "";
位置	server

关于server_name的配置方式有三种，分别是：

精确匹配
通配符匹配
正则表达式匹配

• 配置方式一: 精确匹配

server {
	listen 80;
	server_name www.baidu.com;
	...
}

• 配置方式二: 通配符匹配

server_name中支持通配符"*",但需要注意的是通配符不能出现在域名的中间，只能出现在首段或尾段。

# 正确配置
server {
	listen 80;
	server_name  *.baidu.cn	www.baidu.*;
	# www.baidu.cn abc.baidu.cn www.baidu.cn www.baidu.com
	...
}

# 错误配置
server {
	listen 80;
	server_name  www.*.cn www.baidu.c*
	...
}

• 配置方式三: 正则表达式匹配

server_name中可以使用正则表达式，并且使用~作为正则表达式字符串的开始标记。

server{
        listen 80;
        server_name ~^www\\.(\\w+)\\.com$;
        default_type text/plain;
        return 200 $1  $2 ..;
}
注意 ~后面不能加空格，括号可以取值

常见的正则表达式:

代码	说明
^	匹配搜索字符串开始位置
$	匹配搜索字符串结束位置
.	匹配除换行符\\n之外的任何单个字符
\\	转义字符，将下一个字符标记为特殊字符
[xyz]	字符集，与任意一个指定字符匹配
[a-z]	字符范围，匹配指定范围内的任何字符
\\w	与以下任意字符匹配 A-Z a-z 0-9 和下划线,等效于[A-Za-z0-9_]
\\d	数字字符匹配，等效于[0-9]
{n}	正好匹配n次
{n,}	至少匹配n次
{n,m}	匹配至少n次至多m次
*	零次或多次，等效于{0,}
+	一次或多次，等效于{1,}
?	零次或一次，等效于{0,1}

• 匹配执行顺序

由于server_name指令支持通配符和正则表达式，因此在包含多个虚拟主机的配置文件中，可能会出现一个名称被多个虚拟主机的server_name匹配成功，当遇到这种情况，当前的请求交给谁来处理呢？

server{
	listen 80;
	server_name ~^www\\.\\w+\\.com$;
	default_type text/plain;
	return 200 \'regex_success\';
}

server{
	listen 80;
	server_name www.baidu.*;
	default_type text/plain;
	return 200 \'wildcard_after_success\';
}

server{
	listen 80;
	server_name *.baidu.com;
	default_type text/plain;
	return 200 \'wildcard_before_success\';
}

server{
	listen 80;
	server_name www.baidu.com;
	default_type text/plain;
	return 200 \'exact_success\';
}

server{
	listen 80 default_server;
	server_name _;
	default_type text/plain;
	return 444 \'default_server not found server\';
}

结论：

exact_success
wildcard_before_success
wildcard_after_success
regex_success
default_server not found server!!

location 指令

官方文档 - 点我传送

location: 用来设置请求的URI

语法	location [ = | ~ | ~* | ^~ |@ ] uri{...}
默认值	—
位置	server,location

uri变量是待匹配的请求字符串，可以不包含正则表达式，也可以包含正则表达式，那么nginx服务器在搜索匹配location的时候，是先使用不包含正则表达式进行匹配，找到一个匹配度最高的一个，然后在通过包含正则表达式的进行匹配，如果能匹配到直接访问，匹配不到，就使用刚才匹配度最高的那个location来处理请求。

• 不带符号
  不带符号，要求必须以指定模式开始

server {
	listen 80;
	server_name 127.0.0.1;
	location /abc{
		default_type text/plain;
		return 200 "access success";
	}
}
以下访问都是正确的
http://192.168.188.128/abc
http://192.168.188.128/abc?p1=TOM
http://192.168.188.128/abc/
http://192.168.188.128/abcdef

• 带符号 =
  = : 用于不包含正则表达式的uri前，必须与指定的模式精确匹配

server {
	listen 80;
	server_name 127.0.0.1;
	location =/abc{
		default_type text/plain;
		return 200 "access success";
	}
}
可以匹配到
http://192.168.188.128/abc
http://192.168.188.128/abc?p1=TOM
匹配不到
http://192.168.188.128/abc/
http://192.168.188.128/abcdef

• 带符号 ~ or ~* or ^~
  ~ : 用于表示当前uri中包含了正则表达式，并且区分大小写。
  ~*: 用于表示当前uri中包含了正则表达式，并且不区分大小写。
  ^~: 用于不包含正则表达式的uri前，功能和不加符号的一致，唯一不同的是，如果模式匹配，那么就停止搜索其他模式了。

# 如果uri包含了正则表达式，需要用上述两个符合来标识
# ~
server {
	listen 80;
	server_name 127.0.0.1;
	location ~^/abc\\w${
		default_type text/plain;
		return 200 "access success";
	}
}

# ~*
server {
	listen 80;
	server_name 127.0.0.1;
	location ~*^/abc\\w${
		default_type text/plain;
		return 200 "access success";
	}
}

# ^~
server {
	listen 80;
	server_name 127.0.0.1;
	location ^~/abc{
		default_type text/plain;
		return 200 "access success";
	}
}

root/alias 指令

root

官方文档 - 点我传送

root：设置请求的根目录，设置存放html的位置。

语法	root path;
默认值	root html;
位置	http、server、location

path为Nginx服务器接收到请求以后查找资源的根目录路径。

server{
	listen 8080;
	server_name 127.0.0.1;
	location /images {
	    # 查找 root /usr/local/nginx/html 目录中的index.html  
        root /usr/local/nginx/html;
		index index.html;
	}
}

# 访问index.html的路径为: http://192.168.188.128/images

alias

官方文档 - 点我传送

alias：用来更改location的URI。

语法	alias path;
默认值	—
位置	location

server{
	listen 8080;
	server_name 127.0.0.1;
	location /images {
	    # 使用 `/usr/local/nginx/html` 替换 /images URL为 http://IP:8080/images ==> http://IP:8080/usr/local/nginx/html
        alias /usr/local/nginx/html;
		index index.html;
	}
}

# 再次访问 http://192.168.188.128/images 发现页面出现404错误 可通过error.log查看日志

alias 和 root 区别

# 1. 两者的区别
- root的处理结果是: root路径+location路径
/usr/local/nginx/html/images/mv.png
- alias的处理结果是:使用alias路径替换location路径
/usr/local/nginx/html/images

# 2. 两者以 / 结尾
- 如果location路径是以/结尾,则alias也必须是以/结尾，root没有要求。

# 3. root / alias 总结
root的处理结果是: root路径+location路径
alias的处理结果是:使用alias路径替换location路径
alias是一个目录别名的定义，root则是最上层目录的含义。
如果location路径是以/结尾,则alias也必须是以/结尾，root没有要求

总的来说,使用root即可,alias了解即可。

error_page 指令

官方文档 - 点我传送

error_page: 设置网站的错误页面

语法	error_page code ... [=[response]] uri;
默认值	—
位置	http、server、location......

# 1. 指定具体跳转的地址 访问不存在网页 则跳转到baidu
server {
	error_page 404 http://www.baidu.cn;
}

# 2. 指定重定向地址
server{
	error_page 404 /50x.html;
	error_page 500 502 503 504 /50x.html;
	location =/50x.html{
		root html;
	}
}

# 3. 使用location的@符合完成错误信息展示
server{
	error_page 404 @jump_to_error;
	location @jump_to_error {
		default_type text/plain;
		return 404 \'Not Found Page...\';
	}
}

# 4. 使用 = 将响应代码更改为另外响应代码
- `=[response]`的作用是用来将响应代码更改为另外一个
server{
	error_page 404 =200 /50x.html;
	location =/50x.html{
		root html;
	}
}
这样的话，当返回404找不到对应的资源的时候，在浏览器上可以看到，最终返回的状态码是200，这块需要注意下，编写error_page后面的内容，404后面需要加空格，200前面不能加空格

Nginx - 配置优化

Nginx对静态资源如何进行优化配置。从三个属性配置进行优化：

sendfile on;
tcp_nopush on;
tcp_nodeplay on;

sendfile

官方文档 sendfile - 点我传送

sendfile: 用来开启高效的文件传输模式。

语法	sendfile on |off;
默认值	sendfile off;
位置	http、server、location...

请求静态资源的过程：客户端通过网络接口向服务端发送请求，操作系统将这些客户端的请求传递给服务器端应用程序，服务器端应用程序会处理这些请求，请求处理完成以后，操作系统还需要将处理得到的结果通过网络适配器传递回去。

server {
	listen 80;
	server_name localhost；
	location / {
		root html;
		index index.html;
	}
}
在html目录下有一个welcome.html页面，访问地址
http://192.168.188.128/welcome.html

tcp_nopush

官方文档 - 点我传送

tcp_nopush: 该指令必须在sendfile打开的状态下才会生效，主要是用来提升网络包的传输\'效率\'。

语法	tcp_nopush on|off;
默认值	tcp_nopush off;
位置	http、server、location

tcp_nodelay

官方文档 - 点我传送

tcp_nodelay：该指令必须在keep-alive连接开启的情况下才生效，来提高网络包传输的\'实时性\'。

语法	tcp_nodelay on|off;
默认值	tcp_nodelay on;
位置	http、server、location

tcp_nopush 和 tcp_nodelay 区别

"tcp_nopush"和”tcp_nodelay“看起来是"互斥的"，那么为什么要将这两个值都打开，这个大家需要知道的是在linux2.5.9以后的版本中两者是可以兼容的，三个指令都开启的好处是，sendfile可以开启高效的文件传输模式，tcp_nopush开启可以确保在发送到客户端之前数据包已经充分“填满”， 这大大减少了网络开销，并加快了文件发送的速度。 然后，当它到达最后一个可能因为没有“填满”而暂停的数据包时，Nginx会忽略tcp_nopush参数， 然后，tcp_nodelay强制套接字发送数据。由此可知，TCP_NOPUSH可以与TCP_NODELAY一起设置，它比单独配置TCP_NODELAY具有更强的性能。所以我们可以使用如下配置来优化Nginx静态资源的处理

nginx.conf

http{
    sendfile on;
    tcp_nopush on;
    tcp_nodelay on;
}

Nginx - 配置资源压缩

在Nginx的配置文件中可以通过配置gzip来对静态资源进行压缩，相关的指令可以配置在http块、server块和location块中，Nginx可以通过。

# 1. 模块
ngx_http_gzip_module 模块
ngx_http_gzip_static_module 模块
ngx_http_gunzip_module 模块

# 2. 内容
- Gzip各模块支持的配置指令

- Gzip压缩功能的配置

- Gzip和sendfile的冲突解决

- 浏览器不支持Gzip的解决方案

Gzip 模块配置

Gzip模块 指令都来自ngx_http_gzip_module模块，该模块会在nginx安装的时候内置到nginx的安装环境中，也就是说我们可以直接使用这些指令。

官方文档 - 点我传送

gzip 指令

gzip: 该指令用于开启或者关闭gzip功能

语法	gzip on|off;
默认值	gzip off;
位置	http、server、location...

注意只有该指令为打开状态，下面的指令才有效果

http{
   gzip on;
}

gzip_types 指令

gzip_types: 该指令可以根据响应页的MIME类型选择性地开启Gzip压缩功能

语法	gzip_types mime-type ...;
默认值	gzip_types text/html;
位置	http、server、location

所选择的值可以从mime.types文件中进行查找，也可以使用"*"代表所有。

http{
	gzip_types application/javascript;
}

gzip_comp_level 指令

gzip_comp_level : 该指令用于设置Gzip压缩程度，级别从1-9; 1表示压缩程度最低，效率最高，9刚好相反，压缩程度最高，但是效率最低最费时间。

语法	gzip_comp_level level;
默认值	gzip_comp_level 1;
位置	http、server、location

http{
    # 建议设置到中间即可  推荐6
	gzip_comp_level 6;
}

gzip_vary 指令

gzip_vary: 该指令用于设置使用Gzip进行压缩发送是否携带 "Vary:Accept-Encoding" 头域的响应头部。主要是告诉接收方，所发送的数据经过了Gzip压缩处理。

语法	gzip_vary on|off;
默认值	gzip_vary off;
位置	http、server、location

gzip_buffers指令

gzip_buffers: 该指令用于处理请求压缩的缓冲区数量和大小。

语法	gzip_buffers number size;
默认值	gzip_buffers 32 4k|16 8k;
位置	http、server、location

其中number:指定Nginx服务器向系统申请缓存空间个数，size指的是每个缓存空间的大小。主要实现的是申请number个每个大小为size的内存空间。这个值的设定一般会和服务器的操作系统有关，所以建议此项不设置，使用默认值即可。

gzip_buffers 4 16K;	  #缓存空间大小

gzip_disable 指令

gzip_disable: 针对不同种类客户端发起的请求，可以选择性地开启和关闭Gzip功能。

语法	gzip_disable regex ...;
默认值	—
位置	http、server、location

regex:根据客户端的浏览器标志(user-agent)来设置，支持使用正则表达式。指定的浏览器标志不使用Gzip.该指令一般是用来排除一些明显不支持Gzip的浏览器。

gzip_disable "MSIE [1-6]\\.";

gzip_http_version 指令

gzip_http_version: 针对不同的HTTP协议版本，可以选择性地开启和关闭Gzip功能。

语法	gzip_http_version 1.0|1.1;
默认值	gzip_http_version 1.1;
位置	http、server、location

该指令是指定使用Gzip的HTTP最低版本，该指令一般采用默认值即可。

gzip_min_length 指令

gzip_min_length: 该指令针对传输数据的大小，可以选择性地开启和关闭Gzip功能

语法	gzip_min_length length;
默认值	gzip_min_length 20;
位置	http、server、location

nignx计量大小的单位：bytes[字节] / kb[千字节] / M[兆]
例如: 1024 / 10k|K / 10m|M

Gzip压缩功能对大数据的压缩效果明显，但是如果要压缩的数据比较小的化，可能出现越压缩数据量越大的情况，因此我们需要根据响应内容的大小来决定是否使用Gzip功能，响应页面的大小可以通过头信息中的Content-Length来获取。但是如何使用了Chunk编码动态压缩，该指令将被忽略。建议设置为1K或以上。

gzip_proxied 指令

gzip_proxied: 该指令设置是否对服务端返回的结果进行Gzip压缩。

语法	gzip_proxied off|expired|no-cache| no-store|private|no_last_modified|no_etag|auth|any;
默认值	gzip_proxied off;
位置	http、server、location

off - 关闭Nginx服务器对后台服务器返回结果的Gzip压缩   

expired - 启用压缩，如果header头中包含 "Expires" 头信息   

no-cache - 启用压缩，如果header头中包含 "Cache-Control:no-cache" 头信息   

no-store - 启用压缩，如果header头中包含 "Cache-Control:no-store" 头信息   

private - 启用压缩，如果header头中包含 "Cache-Control:private" 头信息   

no_last_modified - 启用压缩,如果header头中不包含 "Last-Modified" 头信息   

no_etag - 启用压缩 ,如果header头中不包含 "ETag" 头信息   

auth - 启用压缩 , 如果header头中包含 "Authorization" 头信息   

any - 无条件启用压缩 

Gzip 压缩配置

gzip on;  			  #开启gzip功能
gzip_types *;		  #压缩源文件类型,根据具体的访问资源类型设定
gzip_comp_level 6;	  #gzip压缩级别
gzip_min_length 1024; #进行压缩响应页面的最小长度,content-length
gzip_buffers 4 16K;	  #缓存空间大小
gzip_http_version 1.1; #指定压缩响应所需要的最低HTTP请求版本
gzip_vary  on;		  #往头信息中添加压缩标识
gzip_disable "MSIE [1-6]\\."; #对IE6以下的版本都不进行压缩
gzip_proxied  off； #nginx作为反向代理压缩服务端返回数据的条件

这些配置在很多地方可能都会用到，所以我们可以将这些内容抽取到一个配置文件中，然后通过include指令把配置文件再次加载到nginx.conf配置文件中，方法使用。

nginx_gzip.conf

gzip on;
gzip_types *;
gzip_comp_level 6;
gzip_min_length 1024;
gzip_buffers 4 16K;
gzip_http_version 1.1;
gzip_vary  on;
gzip_disable "MSIE [1-6]\\.";
gzip_proxied  off;

nginx.conf

include nginx_gzip.conf;

Gzip 和 sendfile 共存问题

开启sendfile以后，在读取磁盘上的静态资源文件的时候，可以减少拷贝的次数，可以不经过用户进程将静态文件通过网络设备发送出去，但是Gzip要想对资源压缩，是需要经过用户进程进行操作的。所以如何解决两个设置的共存问题。

使用ngx_http_gzip_static_module模块的gzip_static指令来解决。

gzip_static 指令

gzip_static: 检查与访问资源同名的.gz文件时，response中以gzip相关的header返回.gz文件的内容。

语法	gzip_static on | off | always;
默认值	gzip_static off;
位置	http、server、location

nginx.conf

http{
    gzip_static on;
}

添加上述命令后，会报一个错误，unknown directive "gzip_static"主要的原因是Nginx默认是没有添加ngx_http_gzip_static_module模块;添加gzip_static模块即可。

添加 ngx_http_gzip_static_module 模块

• 查询 Nginx 配置参数

$ nginx -V

• nginx 二进制文件更名

# 将 nginx 安装目录下 sbin 目录中的 nginx 二进制文件进行更名
# nginx 默认安装路径为 usr/local 若指定过安装目录,则进入对应的nginx目录
$ cd /usr/local/nginx/sbin

$ mv nginx nginxold

• 进入 Nginx 压缩包目录

$ pwd
/opt/nginx/core/nginx-1.16.1

$ ls -l
drwxr-xr-x. 6 1001 1001   4096 May 31 23:21 auto
-rw-r--r--. 1 1001 1001 296463 Aug 13  2019 CHANGES
-rw-r--r--. 1 1001 1001 452171 Aug 13  2019 CHANGES.ru
drwxr-xr-x. 2 1001 1001    168 May 31 23:21 conf

• make clean

执行make clean清空之前编译的内容

./configure --prefix=/usr/local/nginx --sbin-path=/usr/local/nginx/sbin/nginx \\
--modules-path=/usr/local/nginx/modules --conf-path=/usr/local/nginx/conf/nginx.conf \\
--error-log-path=/usr/local/nginx/logs/error.log \\
--http-log-path=/usr/local/nginx/logs/access.log \\
--pid-path=/usr/local/nginx/logs/nginx.pid --lock-path=/usr/local/nginx/logs/nginx.lock \\
--with-http_gzip_static_module

• make

使用make命令进行编译

$ make

• 移动 nginx 二进制文件

将objs目录下的nginx二进制执行文件移动到nginx安装目录下的sbin目录中

# /usr/local/nginx/sbin 为 nginx 安装目录 若指定其它安装目录,修改成对应的即可
$ mv objs/nginx /usr/local/nginx/sbin/

• 执行更新命令

$ make upgrade

gzip_static 使用

http{
    gzip_static on;
}

• 访问

• 将需要压缩的文件使用gzip命令压缩

gzip xxx

• 访问
  

Nginx - 配置缓存

缓存概念

• 缓存

缓存（cache），原始意义是指访问速度比一般随机存取存储器（RAM）快的一种高速存储器，通常它不像系统主存那样使用DRAM技术，而使用昂贵但较快速的SRAM技术。缓存的设置是所有现代计算机系统发挥高性能的重要因素之一。

• web缓存

Web缓存是指一个Web资源（如html页面，图片，js，数据等）存在于Web服务器和客户端（浏览器）之间的副本。缓存会根据进来的请求保存输出内容的副本；当下一个请求来到的时候，如果是相同的URL，缓存会根据缓存机制决定是直接使用副本响应访问请求，还是向源服务器再次发送请求。比较常见的就是浏览器会缓存访问过网站的网页，当再次访问这个URL地址的时候，如果网页没有更新，就不会再次下载网页，而是直接使用本地缓存的网页。只有当网站明确标识资源已经更新，浏览器才会再次下载网页。

• 缓存种类

# 客户端缓存
- 浏览器缓存

# 服务端缓存
- Nginx
- Redis
- Memcached

• 缓存优点

- 成本最低的一种缓存实现
- 减少网络带宽消耗
- 降低服务器压力
- 减少网络延迟，加快页面打开速度

浏览器缓存执行流程

HTTP协议中和页面缓存相关的字段:

header	说明
Expires	缓存过期的日期和时间
Cache-Control	设置和缓存相关的配置信息
Last-Modified	请求资源最后修改时间
ETag	请求变量的实体标签的当前值，比如文件的MD5值

# Http 缓存执行流程
- 1. 用户首次通过浏览器发送请求到服务端获取数据，客户端是没有对应的缓存，所以需要发送request请求来获取数据；

- 2. 服务端接收到请求后，获取服务端的数据及服务端缓存的允许后，返回200的成功状态码并且在响应头上附上对应资源以及缓存信息；

- 3. 当用户再次访问相同资源的时候，客户端会在浏览器的缓存目录中查找是否存在响应的缓存文件

- 4. 如果没有找到对应的缓存文件，则走(2)步

- 5. 如果有缓存文件，接下来对缓存文件是否过期进行判断，过期的判断标准是(Expires),

- 6. 如果没有过期，则直接从本地缓存中返回数据进行展示(强缓存)

- 7. 如果Expires过期，接下来需要判断缓存文件是否发生过变化

- 8. 判断的标准有两个，一个是ETag(Entity Tag),一个是Last-Modified

- 9. 判断结果是未发生变化，则服务端返回304，直接从缓存文件中获取数据(弱缓存)

- 10. 如果判断是发生了变化，重新从服务端获取数据，并根据缓存协商(服务端所设置的是否需要进行缓存数据的设置)来进行数据缓存。

# 强缓存 和 弱缓存 的区别:

浏览器缓存指令

expires 指令

expires: 该指令用来控制页面缓存的作用。可以通过该指令控制HTTP应答中的“Expires"和”Cache-Control"。

语法	expires [modified] time expires epoch|max|off;
默认值	expires off;
位置	http、server、location

nginx.conf

location / {
    # 可设置为空、1000、-1000、max
    expires 空|1000|-1000|max;
    root   html;
    index  index.html index.htm;
}

参数详解

**time**:可以整数也可以是负数，指定过期时间，如果是负数，Cache-Control则为no-cache,如果为整数或0，则Cache-Control的值为max-age=time;

**epoch**: 指定Expires的值为\'1 January,1970,00:00:01 GMT\'(1970-01-01 00:00:00)，Cache-Control的值no-cache

**max**:指定Expires的值为\'31 December2037 23:59:59GMT\' (2037-12-31 23:59:59) ，Cache-Control的值为10年

**off**:默认不缓存。

add_header 指令

add_header: 用来添加指定的响应头和响应值。

语法	add_header name value [always];
默认值	—
位置	http、server、location...

Cache-Control作为响应头信息，可以设置如下值：

缓存响应指令：

Cache-control: must-revalidate
Cache-control: no-cache
Cache-control: no-store
Cache-control: no-transform
Cache-control: public
Cache-control: private
Cache-control: proxy-revalidate
Cache-Control: max-age=<seconds>
Cache-control: s-maxage=<seconds>

指令	说明
must-revalidate	可缓存但必须再向源服务器进行确认
no-cache	缓存前必须确认其有效性(弱缓存)
no-store	不缓存请求或响应的任何内容
no-transform	代理不可更改媒体类型
public	可向任意方提供响应的缓存
private	仅向特定用户返回响应
proxy-revalidate	要求中间缓存服务器对缓存的响应有效性再进行确认
max-age=<秒>	响应最大Age值
s-maxage=<秒>	公共缓存服务器响应的最大Age值

nginx.conf

location / {
    expires max;
    add_header Cache-Control no-store;
    root   html;
    index  index.html index.htm;
}

Nginx - 配置跨域请求

同源策略

百度百科 - 点我传送

CORS - 点我传送

同源策略是浏览器的行为，是为了保护本地数据不被JavaScript代码获取回来的数据污染，因此拦截的是客户端发出的请求回来的数据接收，即请求发送了，服务器响应了，但是无法被浏览器接收。

同源: 协议(HTTP、HTTPS)、域名(IP)、端口相同即为同源。

# 1. 不同源 协议不同
http://192.168.200.131/user/1
https://192.168.200.131/user/1

# 2. 不同源 IP不同
http://192.168.200.131/user/1
http://192.168.200.132/user/1

# 3. 不同源 端口不同
http://192.168.200.131/user/1
http://192.168.200.131:8080/user/1

# 4. 不同源 域名不同
http://www.nginx.com/user/1
http://www.nginx.org/user/1

# 5. 不同源 端口不同
http://192.168.200.131/user/1
http://192.168.200.131:8080/user/1

# 6. 同源 域名 端口 协议 都一致
http://www.nginx.org:80/user/1
http://www.nginx.org/user/1

跨域问题

• 问题描述

有两台服务器分别为A,B,如果从服务器A的页面发送异步请求到服务器B获取数据，如果服务器A和服务器B不满足同源策略，则就会出现跨域问题。

• 问题解决

使用add_header指令，以用来添加一些头信息。

语法	add_header name value...
默认值	—
位置	http、server、location

此处用来解决跨域问题，需要添加两个头信息，一个是Access-Control-Allow-Origin,Access-Control-Allow-Methods。

Access-Control-Allow-Origin: 直译过来是允许跨域访问的源地址信息，可以配置多个(多个用逗号分隔)，也可以使用*代表所有源。

Access-Control-Allow-Methods:直译过来是允许跨域访问的请求方式，值可以为 GET POST PUT DELETE...,可以全部设置，也可以根据需要设置，多个用逗号分隔。

Access-Control-Allow-Credentials: 跨域请求默认不包含cookie，设置为true可以包含 cookie。

Access-Control-Expose-Headers: 跨域请求暴露的字段。
CORS请求时，XMLHttpRequest对象的getResponseHeader()方法只能拿到6个基本字段： Cache-Control、Content-Language、Content-Type、Expires、Last-Modified、Pragma。如 果想拿到其他字段，就必须在Access-Control-Expose-Headers里面指定。

Access-Control-Max-Age: 表明该响应的有效时间为多少秒。在有效时间内，浏览器无 须为同一请求再次发起预检请求。请注意，浏览器自身维护了一个最大有效时间，如果 该首部字段的值超过了最大有效时间，将不会生效。

nginx.conf

location /getUser{
    add_header Access-Control-Allow-Origin *;
    add_header Access-Control-Allow-Methods GET,POST,PUT,DELETE;
    default_type application/json;
    return 200 \'{"id":1,"name":"TOM","age":18}\';
}

Nginx - 配置资源盗链

资源盗链描述

资源防盗链 - 点我传送

百度百科 - 点我传送

资源盗链指的是此内容不在自己服务器上，而是通过技术手段，绕过别人的限制将别人的内容放到自己页面上最终展示给用户。
以此来盗取大网站的空间和流量。简而言之就是用别人的东西成就自己的网站。

资源防盗链原理

Referer(可伪造referer)

HTTP的头信息Referer,当浏览器向web服务器发送请求的时候，一般都会带上Referer,来告诉浏览器该网页是从哪个页面链接过来的。

后台服务器可以根据获取到的这个Referer信息来判断是否为自己信任的网站地址，如果是则放行继续访问，如果不是则可以返回403(服务端拒绝访问)的状态信息。

• 防盗链实现

Nginx 需要提前加载 ngx_http_referer_module 模块。

valid_referers:nginx会通就过查看referer自动和valid_referers后面的内容进行匹配，如果匹配到了就将$invalid_referer变量置0，如果没有匹配到，则将$invalid_referer变量置为1，匹配的过程中不区分大小写。

语法	valid_referers none|blocked|server_names|string...
默认值	—
位置	server、location

none: 如果Header中的Referer为空，允许访问。

blocked:在Header中的Referer不为空，但是该值被防火墙或代理进行伪装过，如不带"http://" 、"https://"等协议头的资源允许访问。

server_names:指定具体的域名或者IP。

string: 可以支持正则表达式和*的字符串。如果是正则表达式，需要以~开头表示。

nginx.conf

location ~*\\.(png|jpg|gif){
           valid_referers none blocked www.baidu.com 192.168.200.222 *.example.com example.*  www.example.org  ~\\.google\\.;
           if ($invalid_referer){
                return 403;
           }
           root /usr/local/nginx/html;
}
# 注意：为什么要none呢？因为如果通过浏览器直接访问资源，referer就是为空，所以这种方式不能彻底阻挡住盗链。

• 目录防盗链

nginx.conf

location /images {
    valid_referers none blocked www.baidu.com 192.168.200.222 *.example.com example.* www.example.org  ~\\.google\\.;
    if ($invalid_referer){
        return 403;
    }
    root /usr/local/nginx/html;

}

加密签名

Referer的限制比较粗略,若使用Burp Suite随意加一个 Referer 便无法防盗链了。故需要使用加密签名方式进行防盗链。

Nginx 需要提前加载 ngx_http_accesskey_module 模块。

参考文档

官方文档 ngx_http_core_module - 点我传送

官方文档 ngx_http_gzip_module - 点我传送