Nginx中default_server指令问题详解
颜淡慕潇 人气:0序言
文章标记颜色说明:
- 黄色:重要标题
- 红色:用来标记结论
- 绿色:用来标记一级论点
- 蓝色:用来标记二级论点
1.基本介绍
nginx 的 default_server 指令
可以定义默认的 server 出处理一些没有成功匹配 server_name 的请求
- 1.显示定义
- 2.指定Server_name
- 3.隐式定义
这三种方式都可禁止 ip 直接访问
且 1,3同时可以禁止未绑定域名的访问(比如泛解析了主域名)。
如果没有显式定义,则会选取第一个定义的 server 作为 default_server。
2.显示定义一个 default server
http { # 显示的定义一个 default server server { listen 80 default_server; server_name _; return 403; # 403 forbidden } }
3.指定server_name 为 ip
http { # 直接指定 ip server_name server { listen 80; server_name 192.168.xxx.xxx; return 403; # 403 forbidden } }
4. 隐式的 default server
在没有显式定义 default server 时,nginx 会将配置的第一个 server 作为 default server,即当请求没有匹配任何 server_name 时,此 server 会处理此请求。
所以,当直接使用 ip 访问时会进入第一个 server 处理,返回403 forbidden。
http { # 如果没有显式声明 default server 则第一个 server 会被隐式的设为 default server server { listen 80; server_name _; # _ 并不是重点 __ 也可以 ___也可以 return 403; # 403 forbidden } }
Tips:
这里,server_name 设为 '_',其实也可以设置为其他。
'_' 只是作为一个和业务域名无关的请求回收服务,不要认为一定要设置为 '_',就好
如果线上的业务都是明确的业务域名访问,那泛解析造成的一些非业务域名或ip访问都会被这个 sever 回收处理。
5.风险问题
问题描述:
nginx 不配置 default_server ,会出现一些很诡异问题
有时候,代理机器没有配置流,居然可以访问正常,有时候,配置明明删除了,却也能访问
原因:
没有配置default_server
解决方案:
- 在代理机做分发的时候一定要反复确认是否有映射过去
- 设置一个 default_server
6.总结
nginx 批量载入配置 conf 时会按 ASCII (American Standard Code for Information Interchange)排序载入,
这就会以
- server_a.conf
- server_b.conf
- server_c.conf
的顺序载入,如果没有生命 default_server 的话,那 server_a 会作为默认的 server 去处理 未绑定域名/ip 的请求。
建议显示指定 default server,因为在配置虚拟主机或多业务时,会存有多个 server 配置文件
如果使用隐式方式选取第一个被载入的 server 作为 default server 的话,还要时刻去确认谁是被第一个载入的...存在一定的风险...
补充:nginx 的default_server原理
1.配置文件上面的server_name配置文件首先要遵循default_server的原则,需要得到验证才使用server_name配置的域名才能生效。
2.所以我们需要加default_server 加证书验证(证书随便,只是做检验用的)
3.这样做的目的就是防止恶意解析,如果不做这个策略。别的域名会解析到我们的IP。
加载全部内容