nginx性能拒收请求

当路径包含/html的时候，则代理到server后端进行请求数据。这里屏蔽了PUT,DELETE,POST方法，只是使用了GET,主要目的是为了安全性，因为DELETE,POST,PUT是可以修改数据的。

或者：

nginx禁止访问txt|doc文件

方法一：全局设置，禁止访问任何以后缀txt|doc的文件

location ~* \.(txt|doc)$ {

deny all

}

方法二：只禁止访问某目录下的txt|doc

location ~* \.(txt|doc)$ {

if (-f $request_filename) {

root html/job

break

}

}

nginx禁止某中浏览器访问：#浏览器类型可从日志得知。

server

{

listen 80

server_name test.domain.com

index index.php index.html

root /opt/nginx/html/

if ( $http_user_agent ~* "MSIE 6.0" ) {

return 403

}

设置目录执行权限

在windows+iis下，可以设置上传目录，类似:upload,uploadfile,attachments，这样的目录下面无脚本执行权限，从而防止非法用户上传脚本得到webshell

nginx上也很简单，我们使用location 如下：

location ~ ^/upload/.*\.(php|php5)$

{

deny all

}

其中upload换为你要设置的目录名字

这条规则的含义是匹配请求连接中开头是/upload/，中间匹配任意字符，结尾匹配.php或者.php5的页面，最后利用deny all禁止访问，这样就防止了上传目录的脚本执行权限

由于工作需要，有几个nginx配置的需求，在这里整理记录一下。

1. 屏蔽请求方式，仅允许POST、GET等

当有非我们允许的请求方式访问站点时，定义返回403状态码，示例配置如下：

if （$request_method !~ ^(GET|POST)$ ）

{

return 403

}

2. 定义错误页

有时候我们访问到不存在的页面或报错，如403/404/502/503/504/405等，再或者500这种程序错误时，出于安全和用户友好度的考虑，希望能够跳转到统一的错误页等。可以添加如下示例配置：

error_page 404 403 502 503 /error.html

location = /error.html {

root html

}

这里前提是要自己写好一个错误页面，放到指定的nginx服务器目录里。

3. 屏蔽指定url

比如一台nginx提供的多个server_name共用静态资源时，但又有资源仅仅想让某个server_name访问到；又比如程序写的不够合理，当生产环境跑起来时发现有些地址不应该提供到互联网访问；再或者我们想通过nginx屏蔽掉一些恶意的访问如特殊字符，都可以使用下面示例配置进行指定url的屏蔽跳转到错误页：

if ( $request_uri ~* "..|test1234|home/test.do" ){

rewrite xxxxxxxxx#或return指定错误码

}

作用域可以是server，也可以是location。上面写法使用正则匹配包含以上字符串的url，根据使用场景调整，转义使用，多个字符串之间用|分隔。

4. 屏蔽指定IP地址

比如我们的服务部署后只想指定IP地址可以访问或指定的IP不可访问时，可以使用下面示例配置强制跳转到错误页面。

if ($http_x_forwarded_for !~ ^(192.168.3.100|123.123.123.123|222.222.222.222)) {

return 403#或 rewrite指定页面

}

作用域可以是server，也可以是location。

5. 比较奇葩的需求

我这里有一个服务test对互联网开放访问，但是其中比如地址 /test/admin.jsp 和 /test/config.jsp 又只想让指定的几个人访问到其他人不允许访问，这里我将上面的3和4组合起来使用了，配置示例如下：

location /test {

set $flag 0

if ( $request_uri ~* "admin.jsp|config.jsp" ) {

set $flag "${flag}1"

}

if ($http_x_forwarded_for !~ ^(192.168.3.100|123.123.123.123|222.222.222.222)) {

set $flag "${flag}2"

}

if ( $flag = "012" ){

return 403

}

proxy_pass xxxxxxxxxxxxxxxxx

proxy_set_header xxxxxxxxxxxxxxx

.......................

}

本来想if如果是真的话flag=flag+1， 不过随手写了写，发现写不对，就换这种比较熟悉的字符串拼接的方式了，殊途同归；

flag初始为1，如果访问到指定的url则会变成01， 如果访问到url的却又不是我们白名单允许的IP，flag会变成012，最后对flag做下判断如过时“012”则拒绝访问。

写在最后:

如有错误请评论告知，多多包涵。

使用Nginx配置文件屏蔽指定请求_冯大仙的博客-CSDN博客

可以通过return返回403状态码，这样可以阻止所有人访问某个文件：

location /some/important/config/file.conf {

 return 403

}

上面的配置使得/some/important/config/file.conf文件访问返回的都是403状态码

---