Nginx中default_server指令問題詳解
目錄
- 序言
- 1.基本介紹
- 2.顯示定義一個 default server
- 3.指定server_name 為 ip
- 4. 隱式的 default server
- 5.風(fēng)險問題
- 6.總結(jié)
- 補(bǔ)充:nginx 的default_server原理
序言
文章標(biāo)記顏色說明:
- 黃色:重要標(biāo)題
- 紅色:用來標(biāo)記結(jié)論
- 綠色:用來標(biāo)記一級論點(diǎn)
- 藍(lán)色:用來標(biāo)記二級論點(diǎn)
1.基本介紹
nginx 的 default_server 指令
可以定義默認(rèn)的 server 出處理一些沒有成功匹配 server_name 的請求
- 1.顯示定義
- 2.指定Server_name
- 3.隱式定義
這三種方式都可禁止 ip 直接訪問
且 1,3同時可以禁止未綁定域名的訪問(比如泛解析了主域名)。
如果沒有顯式定義,則會選取第一個定義的 server 作為 default_server。
2.顯示定義一個 default server
http { # 顯示的定義一個 default server server {listen 80 default_server;server_name _;return 403; # 403 forbidden }}3.指定server_name 為 ip
http { # 直接指定 ip server_name server { listen 80; server_name 192.168.xxx.xxx; return 403; # 403 forbidden } }4. 隱式的 default server
在沒有顯式定義 default server 時,nginx 會將配置的第一個 server 作為 default server,即當(dāng)請求沒有匹配任何 server_name 時,此 server 會處理此請求。
所以,當(dāng)直接使用 ip 訪問時會進(jìn)入第一個 server 處理,返回403 forbidden。
http { # 如果沒有顯式聲明 default server 則第一個 server 會被隱式的設(shè)為 default server server {listen 80;server_name _; # _ 并不是重點(diǎn) __ 也可以 ___也可以return 403; # 403 forbidden } }Tips:
這里,server_name 設(shè)為 '_',其實(shí)也可以設(shè)置為其他。
'_' 只是作為一個和業(yè)務(wù)域名無關(guān)的請求回收服務(wù),不要認(rèn)為一定要設(shè)置為 '_',就好
如果線上的業(yè)務(wù)都是明確的業(yè)務(wù)域名訪問,那泛解析造成的一些非業(yè)務(wù)域名或ip訪問都會被這個 sever 回收處理。
5.風(fēng)險問題
問題描述:
nginx 不配置 default_server ,會出現(xiàn)一些很詭異問題
有時候,代理機(jī)器沒有配置流,居然可以訪問正常,有時候,配置明明刪除了,卻也能訪問
原因:
沒有配置default_server
解決方案:
- 在代理機(jī)做分發(fā)的時候一定要反復(fù)確認(rèn)是否有映射過去
- 設(shè)置一個 default_server
6.總結(jié)
nginx 批量載入配置 conf 時會按 ASCII (American Standard Code for Information Interchange)排序載入,
這就會以
- server_a.conf
- server_b.conf
- server_c.conf
的順序載入,如果沒有生命 default_server 的話,那 server_a 會作為默認(rèn)的 server 去處理 未綁定域名/ip 的請求。
建議顯示指定 default server,因為在配置虛擬主機(jī)或多業(yè)務(wù)時,會存有多個 server 配置文件
如果使用隱式方式選取第一個被載入的 server 作為 default server 的話,還要時刻去確認(rèn)誰是被第一個載入的...存在一定的風(fēng)險...
補(bǔ)充:nginx 的default_server原理
1.配置文件上面的server_name配置文件首先要遵循default_server的原則,需要得到驗證才使用server_name配置的域名才能生效。
2.所以我們需要加default_server 加證書驗證(證書隨便,只是做檢驗用的)
3.這樣做的目的就是防止惡意解析,如果不做這個策略。別的域名會解析到我們的IP。
到此這篇關(guān)于Nginx中default_server指令問題的文章就介紹到這了,更多相關(guān)Nginx default_server問題內(nèi)容請搜索以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持!
網(wǎng)公網(wǎng)安備