Nginx中default_server指令問題詳解
目錄
- 序言
- 1.基本介紹
- 2.顯示定義一個 default server
- 3.指定server_name 為 ip
- 4. 隱式的 default server
- 5.風險問題
- 6.總結
- 補充:nginx 的default_server原理
序言
文章標記顏色說明:
- 黃色:重要標題
- 紅色:用來標記結論
- 綠色:用來標記一級論點
- 藍色:用來標記二級論點
1.基本介紹
nginx 的 default_server 指令
可以定義默認的 server 出處理一些沒有成功匹配 server_name 的請求
- 1.顯示定義
- 2.指定Server_name
- 3.隱式定義
這三種方式都可禁止 ip 直接訪問
且 1,3同時可以禁止未綁定域名的訪問(比如泛解析了主域名)。
如果沒有顯式定義,則會選取第一個定義的 server 作為 default_server。
2.顯示定義一個 default server
http { # 顯示的定義一個 default server server {listen 80 default_server;server_name _;return 403; # 403 forbidden }}3.指定server_name 為 ip
http { # 直接指定 ip server_name server { listen 80; server_name 192.168.xxx.xxx; return 403; # 403 forbidden } }4. 隱式的 default server
在沒有顯式定義 default server 時,nginx 會將配置的第一個 server 作為 default server,即當請求沒有匹配任何 server_name 時,此 server 會處理此請求。
所以,當直接使用 ip 訪問時會進入第一個 server 處理,返回403 forbidden。
http { # 如果沒有顯式聲明 default server 則第一個 server 會被隱式的設為 default server server {listen 80;server_name _; # _ 并不是重點 __ 也可以 ___也可以return 403; # 403 forbidden } }Tips:
這里,server_name 設為 '_',其實也可以設置為其他。
'_' 只是作為一個和業(yè)務域名無關的請求回收服務,不要認為一定要設置為 '_',就好
如果線上的業(yè)務都是明確的業(yè)務域名訪問,那泛解析造成的一些非業(yè)務域名或ip訪問都會被這個 sever 回收處理。
5.風險問題
問題描述:
nginx 不配置 default_server ,會出現(xiàn)一些很詭異問題
有時候,代理機器沒有配置流,居然可以訪問正常,有時候,配置明明刪除了,卻也能訪問
原因:
沒有配置default_server
解決方案:
- 在代理機做分發(fā)的時候一定要反復確認是否有映射過去
- 設置一個 default_server
6.總結
nginx 批量載入配置 conf 時會按 ASCII (American Standard Code for Information Interchange)排序載入,
這就會以
- server_a.conf
- server_b.conf
- server_c.conf
的順序載入,如果沒有生命 default_server 的話,那 server_a 會作為默認的 server 去處理 未綁定域名/ip 的請求。
建議顯示指定 default server,因為在配置虛擬主機或多業(yè)務時,會存有多個 server 配置文件
如果使用隱式方式選取第一個被載入的 server 作為 default server 的話,還要時刻去確認誰是被第一個載入的...存在一定的風險...
補充:nginx 的default_server原理
1.配置文件上面的server_name配置文件首先要遵循default_server的原則,需要得到驗證才使用server_name配置的域名才能生效。
2.所以我們需要加default_server 加證書驗證(證書隨便,只是做檢驗用的)
3.這樣做的目的就是防止惡意解析,如果不做這個策略。別的域名會解析到我們的IP。
到此這篇關于Nginx中default_server指令問題的文章就介紹到這了,更多相關Nginx default_server問題內容請搜索以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持!
網公網安備