Score:0

ป้องกัน nginx จากการเขียนพอร์ตใหม่ในส่วนหัวของตำแหน่ง

ธง hu

ดังนั้นฉันจึงเรียกใช้แอปพลิเคชัน Laravel ในคอนเทนเนอร์ nginx ซึ่งฉันให้สิทธิ์เข้าถึงผ่าน nginx อื่นที่ทำหน้าที่เป็น reverse proxy คอนเทนเนอร์เปิดเผยพอร์ต 8123/tcp สำหรับการเข้าถึงบริการ ปัญหาคือด้วยเหตุผลบางอย่าง nginx เพิ่มพอร์ตไปยังที่อยู่ในบางจุด สมมติว่าฉันเข้าถึง https://app.example.comจากนั้นคอนเทนเนอร์จะเปลี่ยนเส้นทางไปที่ http://app.example.com/docs แล้วเปลี่ยนเส้นทางไปที่ http://app.example.com:8123/docs/. นี่คือการกำหนดค่าที่ฉันใช้สำหรับ reverse proxy:

เซิร์ฟเวอร์ {
        ฟัง 443 ssl http2;
        ฟัง [::]:443 ssl http2;
        server_name app.example.com;
        access_log /var/log/nginx/app.example.com-access.log;
        error_log /var/log/nginx/app.example.com-errors.log;
        add_header ผู้อ้างอิง-นโยบายต้นทางเดียวกัน
        add_header X-Content-Type-Options nosniff;
        add_header X-XSS-การป้องกัน "1; mode=block";
        add_header X-Frame-ตัวเลือก "SAMEORIGIN";
        add_header การขนส่งที่เข้มงวด - ความปลอดภัย "อายุสูงสุด = 31536000; includeSubDomains; โหลดล่วงหน้า";

        ที่ตั้ง / {
                ปิด proxy_redirect;
                ปิด port_in_redirect;
                proxy_pass http://127.0.0.1:8123;
                proxy_http_version 1.1;
                proxy_set_header โฮสต์ $http_host;
                ตำแหน่ง proxy_set_header $http_host;
                proxy_set_header X-ส่งต่อ-สำหรับ $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Host $http_host;
                proxy_set_header X-Real-IP $remote_addr;
        }
    ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
    ssl_dhparam /etc/letsencrypt/dhparams_4096.pem;
}
เซิร์ฟเวอร์ {
        ฟัง 80;
        ฟัง [::]:80;
        server_name app.example.com;
        ส่งคืน 302 https://app.example.com$request_uri;
}

อันนี้สำหรับคอนเทนเนอร์ที่มี nginx อยู่ข้างใน:

ผู้ปฏิบัติงาน_กระบวนการ 1;
error_log stderr ดีบัก;
pid /run/nginx.pid;

ผู้ใช้ www-data; #user ต้องเป็นคนเดียวกับที่รัน php.ini

เหตุการณ์ {
    worker_connections 1024;
}

http {
    รวม mime.types;
    แอปพลิเคชัน default_type/octet-stream;
    ส่งไฟล์บน;
    tcp_nopush บน;
    tcp_nodelay บน;
    เปิด fastcgi_keep_conn;
    เปิด fastcgi_buffering;
    fastcgi_buffer_size 512k;
    fastcgi_buffers 128 256k;

    # ปรับแต่ง nginx keepalives ให้ทำงานร่วมกับ GCP HTTP(S) Load Balancer:
    keepalive_timeout 65;

    # กำหนดรูปแบบบันทึกที่กำหนดเองเพื่อรวมเวลาตอบสนอง
    log_format main_timed '$remote_addr - $remote_user [$time_local] "$request" '
                          '$สถานะ $body_bytes_sent "$http_referer"'
                          '"$http_user_agent" "$http_x_forwarded_for" '
                          '$request_time $upstream_response_time $pipe $upstream_cache_status';

    access_log /dev/stdout main_timed;
    error_log /dev/stderr ดีบัก;

    # เขียนไฟล์ชั่วคราวไปที่ /tmp เพื่อให้สามารถสร้างเป็นผู้ใช้ที่ไม่มีสิทธิพิเศษ
    client_body_temp_path /tmp/client_temp;
    proxy_temp_path /tmp/proxy_temp_path;
    fastcgi_temp_path /tmp/fastcgi_temp;
    uwsgi_temp_path /tmp/uwsgi_temp;
    scgi_temp_path /tmp/scgi_temp;



    # คำจำกัดความของเซิร์ฟเวอร์เริ่มต้น
    เซิร์ฟเวอร์ {
        ฟัง 8123;
        ชื่อเซิร์ฟเวอร์ _;
        access_log /dev/stdout main_timed;
        error_log /dev/stderr ดีบัก;
        ดัชนี index.php index.html;

        add_header X-Frame-ตัวเลือก "SAMEORIGIN";
        add_header X-XSS-การป้องกัน "1; mode=block";
        add_header X-Content-Type-Options "nosniff";

        # กำหนดไว้ในการเรียกใช้บนคลาวด์
        client_max_body_size 300M;

        รูท /var/www/app/public;

        ตำแหน่ง / { try_files $uri $uri/ try_files $uri $uri/ /index.php$is_args$args; }

        ตำแหน่ง ~ .php$ {
                รวม /etc/nginx/fastcgi_params;
                fastcgi_pass ยูนิกซ์:/tmp/php-fpm.sock;

                fastcgi_index index.php;
                fastcgi_read_timeout 300;
                fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        }

        ที่ตั้ง ~ /\ {
                ปฏิเสธทั้งหมด
        }

        สถานที่ = /favicon.ico {
            access_log off;
            ปิด log_not_found;
        }
        ตำแหน่ง ~* \.(woff|woff2|svg|jpg|jpeg|png|gif|ico)$ {
            หมดอายุ 1d;
        }
        ตำแหน่ง ~* \.(js|css)$ {
            หมดอายุ 20m;
        }
        ตำแหน่ง ^~ /storage/app/docs {
                    ปฏิเสธทั้งหมด
        }
        # อนุญาต fpm ping และสถานะจาก localhost
        # ตำแหน่ง ~ ^/(สถานะ fpm|fpm-ping)$ {
        # access_log ปิด;
        # อนุญาต 127.0.0.1;
        #ปฏิเสธทั้งหมด
        # #อนุญาตทั้งหมด;
        # fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        # รวม fastcgi_params;
        # fastcgi_pass ยูนิกซ์:/tmp/php-fpm.sock;
        # }
    }

    เปิด gzip;
    gzip_proxyed ใด ๆ ;
    ข้อความ gzip_types/แอปพลิเคชันธรรมดา/ข้อความ xml/ข้อความ css/ข้อความ js/แอปพลิเคชัน xml/ข้อความ x-javascript/แอปพลิเคชันจาวาสคริปต์/แอปพลิเคชัน json/xml+rss;
    gzip_vary บน;
    gzip_disable "msie6";

    # รวมการกำหนดค่าเซิร์ฟเวอร์อื่น ๆ
    รวม /etc/nginx/conf.d/*.conf;

แก้ไข 1: ฉันไม่ได้สังเกตว่าฉันรวมไฟล์ปรับแต่งอื่นๆ ไว้ด้วย ดังนั้นนี่คือ:

fastcgi_params


fastcgi_param QUERY_STRING $query_string;
fastcgi_param REQUEST_METHOD $request_method;
fastcgi_param CONTENT_TYPE $content_type;
fastcgi_param CONTENT_LENGTH $content_length;

fastcgi_param SCRIPT_NAME $fastcgi_script_name;
fastcgi_param REQUEST_URI $request_uri;
fastcgi_param DOCUMENT_URI $document_uri;
fastcgi_param DOCUMENT_ROOT $document_root;
fastcgi_param SERVER_PROTOCOL $server_protocol;
fastcgi_param REQUEST_SCHEME โครงการ $;
fastcgi_param HTTPS $https if_not_empty;

fastcgi_param GATEWAY_INTERFACE CGI/1.1;
fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;

fastcgi_param REMOTE_ADDR $remote_addr;
fastcgi_param REMOTE_PORT $remote_port;
fastcgi_param SERVER_ADDR $server_addr;
fastcgi_param SERVER_PORT $server_port;
fastcgi_param SERVER_NAME $server_name;

# PHP เท่านั้น จำเป็นหากสร้าง PHP ด้วย --enable-force-cgi-redirect
fastcgi_param REDIRECT_STATUS 200;

/etc/nginx/conf.d โฟลเดอร์ว่างเปล่า

ฉันทำอะไรผิด

in flag
การเปลี่ยนเส้นทางครั้งที่สองไม่ได้เกิดขึ้นใน nginx แต่ในแอปพลิเคชันของคุณ กำหนดค่าแอปพลิเคชันของคุณด้วย URL พื้นฐานที่ถูกต้อง (ไม่มีพอร์ต)

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา