nginx.conf ของฉันมีส่วน "เซิร์ฟเวอร์" หลายส่วน และส่วนเซิร์ฟเวอร์ที่รับทั้งหมด นี่คือตัวอย่าง nginx.conf เพื่อให้คุณมีความคิด:
ผู้ใช้ www-data;
worker_processes อัตโนมัติ
worker_cpu_affinity อัตโนมัติ
pid /run/nginx.pid;
เหตุการณ์ {
worker_connections 4000;
ใช้ epol;
ยอมรับ_mutex ปิด;
}
http {
รวม /etc/nginx/mime.types;
แอปพลิเคชัน default_type/octet-stream;
error_log /var/log/nginx/error.log;
เซิร์ฟเวอร์ {
ฟัง 80;
server_name foo.com;
ที่ตั้ง / {
default_type ข้อความ/ธรรมดา;
กลับ 200 "สวัสดีจาก foo.com";
}
error_page 500 502 503 504 /500.html;
}
เซิร์ฟเวอร์ {
ฟัง 80 default_server;
ชื่อเซิร์ฟเวอร์ _;
ที่ตั้ง / {
กลับ 403 "ขอโทษ";
}
}
}
ฉันคาดหวังว่าเซิร์ฟเวอร์จะส่งคืน 403 หากส่วนหัว "โฮสต์" เป็นอย่างอื่นนอกจาก "foo.com"
เห็นได้ชัดว่ามีใครบางคนใช้งาน Burp Suite บนเซิร์ฟเวอร์ของฉัน และฉันสังเกตเห็นพฤติกรรมที่น่าสนใจเมื่อพวกเขาส่งส่วนหัว "Host: foo.com:more-stuff-here": NGINX จะกำหนดเส้นทางคำขอไปยังส่วน "เซิร์ฟเวอร์" แรก ดูเหมือนว่าจะไม่สนใจเครื่องหมายทวิภาคและทุกอย่างหลังจากนั้นในค่าส่วนหัว
ฉันสามารถทำซ้ำในเครื่องด้วย nginx.conf ด้านบน:
$ curl -H "โฮสต์: foo.com" http://127.0.0.1
สวัสดีจาก foo.com
$ curl -H "โฮสต์: foo.com:unexpected-content" http://127.0.0.1
สวัสดีจาก foo.com
$ curl -H "โฮสต์: bar.com" http://127.0.0.1
ขอโทษ
ทำไม NGINX ถึงทำเช่นนี้? นี่เป็นพฤติกรรมที่คาดหวังหรือไม่? ฉันควรเปลี่ยนอะไรใน nginx.conf เพื่อให้แน่ใจว่าคำขอที่มีส่วนหัว "Host: foo.com:more-stuff-here" ไปที่บล็อกเริ่มต้น
อัปเดต: สำหรับใครก็ตามที่ค้นคว้าปัญหาเดียวกัน ฉันก็ได้สร้าง ตั๋วในตัวติดตามปัญหา NGINX.
คำจำกัดความสำหรับส่วนหัวของโฮสต์ใน HTTP RFC ระบุว่าส่วนหัวของโฮสต์ควรมีแบบฟอร์ม โฮสต์:พอร์ต, กับ :ท่า เป็นตัวเลือก
nginx เห็นทุกอย่างหลังจากโคลอนเป็นพอร์ตสำหรับโฮสต์ แต่มันไม่เกี่ยวข้องกับบริบทของคุณเนื่องจากคุณไม่ได้ระบุเซิร์ฟเวอร์บล็อกด้วยวิธีนั้น ดังนั้นจึงใช้การจับคู่ที่ใกล้เคียงที่สุดที่สามารถหาได้ โฮสต์ที่ไม่มี "พอร์ต"
สิ่งต่อไปนี้อาจใช้ได้กับ default_server:
เซิร์ฟเวอร์ {
ฟัง 80 default_server;
server_name _ ~ตัวอย่าง\.com:;
ที่ตั้ง / {
กลับ 403 "ขอโทษ";
}
}
ส่วนที่สำคัญคือตัวหนอน ~ซึ่งระบุการจับคู่นิพจน์ทั่วไป
ความคิดทางเลือกเดียวที่ฉันคิดได้คือโค้ดบางอย่างในระดับแอปพลิเคชันฝั่งเซิร์ฟเวอร์เพื่อตรวจสอบค่าโฮสต์และส่งคืนการตอบกลับ 403 เป็นโค้ด
อย่างไรก็ตาม นี่ไม่ใช่วิธีที่ถูกต้อง เนื่องจากปัญหาเป็นปัญหาไคลเอ็นต์ที่ต้องแก้ไข ไม่ใช่สำหรับแอปพลิเคชันของคุณ
เช่น เอาจาก คำตอบ SO นี้ ด้วยแอปพลิเคชัน PHP คุณสามารถแก้ไขตรรกะนี้ได้อย่างง่ายดายเพื่อให้ได้ผลตามที่ต้องการ สังเกตเฉพาะการตรวจสอบสำหรับ SERVER_PORT ตาม คำตอบของเจอรัลด์
$allowed_hosts = array('foo.example.com', 'bar.example.com');
$allowed_ports = อาร์เรย์(80,443);
if (!isset($_SERVER['HTTP_HOST']) || !in_array($_SERVER['HTTP_HOST'], $allowed_hosts) || !in_array($_SERVER['SERVER_PORT'], $allowed_ports )) {
header($_SERVER['SERVER_PROTOCOL'].' 400 คำขอไม่ถูกต้อง');
ทางออก;
}
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
