Nginx的HTTP配置主要包括三个区块,结构如下:http{//这个是协议界别
include mime.types;
default_type application/octet-stream;
keepalive_timeout 65;
gzip on;
server{//这个是服务器级别
listen 80;
serv
转载
2024-03-20 12:35:00
114阅读
上一篇文章分析了nginx如何发送来自客户端的请求数据到后端服务器, 本篇文章开始将分析nginx如何接收来自后端服务器的响应。nginx接收来自后端服务器的响应分为两个过程,一个是接收来自后端服务器的http响应头部, 另一个是接收来自后端服务器的响应包体。 有必要在最前面说明,也是很重
转载
2024-02-19 17:43:19
2411阅读
如果web服务器前面有cache层,那么vary头信息就是一个命中率杀手。虽然可以在cache层来终结这个杀手,但是为什么我们不考虑在源头上终结它呢。配置nginx隐藏Vary头信息。
nginx.conf中,GZIP部分通常是这样的配置
gzip on; gzip_min_length 1k; gzip_buffers
原创
2010-07-27 23:16:40
9146阅读
点赞
5评论
1. 关于HTTP消息头HTTP消息头是在,客户端请求(Request)或服务器响应(Response)时传递的,位请求或响应的第一行,HTTP消息体(请求或响应的内容)是其后传输。HTTP消息头,以明文的字符串格式传送,是以冒号分隔的键/值对,如:Accept-Charset: utf-8,每一个消息头最后以回车符(CR)和换行符(LF)结尾。HTTP消息头结束后,会用一个空白的字段来标识,这样
转载
2024-02-03 15:41:59
128阅读
本文主要参考为《深入理解nginx模块开发与架构解析》一书,处理用户请求部分,是一篇包含作者理解的读书笔记。欢迎指正,讨论。
请在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。本文主要参考为《深入理解nginx模块开发与架构解析》一书,处理用户请求部分,是一篇包含作者理解的读书笔记。欢迎指正,讨论。handler函数的定义模型如下:1 sta
转载
2024-06-20 21:50:15
700阅读
简介:
IIS可以在一个服务器上搭建多个网站。你需要使用到host header名,ip地址,和端口号。这篇文章解释了什么是host header以及它是如何工作的。Host header是HTTP消息的一部分:客户端与web服务器之间的通信使用的是HTTP协议。客户端与服务器之间发送的数据称为HTTP消息。HTTP消息有body部分和header部分。
转载
2024-05-13 19:28:15
309阅读
Nginx http 模块开发笔记
一、自定义http contextnginx http context即模块的自定义上下文环境,与loc_conf之类的conf结构的区别在于,conf结构的生存周期是整个nginx进程,初始化于启动阶段,其内存空间在整个进程中有效,而contex结构的生存周期则同是单个request,在模块自定义的request回调函数中
转载
2024-08-27 12:21:41
62阅读
问题: 发现nginx转发的时候,似乎把在请求头中自定义的字段弄丢了~~,所以想尝试打印出请求头找出具体原因打印请求头中的变量,需要
vi test.lua:在nginx.conf配置文件中已经指定了lua脚本了获取到请求头信息可以帮助我们做什么呢?①比如对同一请求url,实际上
原创
2022-01-20 14:10:45
1775阅读
相信项目中用JWT Token的应该不在少数,但是发现网上很多文章对 token 的介绍有误,所以对 cookie,session, token 作了一下对比(文中token指jwt token)相信大家看完肯定有收获!Cookie1991 年 HTTP 0.9 诞生了,当时只是为了满足大家浏览 web 文档的要求 ,所以只有 GET 请求,浏览完了就走了,两个连接之间是没有任何联系的,这也是 H
由于博主在渗透网站时发现现在Nginx搭建的网站是越来越多所以对Nginx的漏洞来一个全面性的复习,本次从Nginx较早的漏洞开始分析。2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行,其影响版本为: Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7,范围较广。漏洞说明这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解
转载
2024-04-02 11:15:07
396阅读
目录漏洞复现漏洞成因修复方案参考链接该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。漏洞复现访问http://172.17.0.1/uploadfiles/nginx.png回显如下增加/.php后缀,被解析成PHP文件:测试上传功能:正常上传一张图片马,服务器给我们返回上传路径。上传成功后访问图片,并加上/.php后缀。将.gif文件解析成php文件回显phpinfo。漏洞成
转载
2024-03-15 20:22:17
41阅读
问题: 发现nginx转发的时候,似乎把在请求头中自定义的字段弄丢了~~,所以想尝试打印出请求头找出具体原因打印请求头中的变
原创
2024-10-21 14:40:18
382阅读
vi test.lua:在nginx.conf配置文件中已经指定了lua脚本了获取到请求头信息可以帮助我们做什么呢?①比如对同一请求url,实际上也可以认定为是同一请求用户,可以限定其单位时间内的请求次数,防止过高频率访问,阻断恶意攻击。②也可以在请求头信息中加上token信息,对请求进行鉴权。③进行url定向转发,比如将1-100的id转发到A服务器,将101-200的...
原创
2021-07-07 15:45:06
2203阅读
vulhub漏洞环境https://vulhub.org/#/environments/nginx/nginx_parsing_vulnerability/Nginx 解析漏洞复现版本信息:Nginx 1.x 最新版
PHP 7.x最新版该漏洞与Nginx、php版本无关,属于用户配置不当造成的解析漏洞。1、由于nginx.conf的错误配置导致nginx把以".php"结尾的文件交给fastcg
在开发工作中,我们常常需要获取客户端的IP。一般获取客户端的IP地址的方法是:request.getRemoteAddr();但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。原因:由于在客户端和服务之间增加了中间代理,因此服务器无法直接拿到客户端的IP,服务器端应用也无法直接通过转发请求的地址返回给客户端。现在图示代理上网和IP的关系: 第一种情况:
转载
2024-03-27 11:11:11
905阅读
正则表达式匹配,其中:
1. * ~ 为区分大小写匹配
2. * ~* 为不区分大小写匹配
3. * !~和!~*分别为区分大小写不匹配及不区分大小写不匹配
文件及目录匹配,其中:
1. * -f和!-f用来判断是否存在文件
2. * -d和!-d用来判断是否存在目录
3. * -e和!-e用来判断是否存在文件或目录
4. * -x和!-x用来判断文件是否可执行
flag标记有:
1. * las
转载
2024-04-25 14:52:47
139阅读
[+]IIS 6.0目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码IIS6.0 会将 xx.jpg 解析为 asp 文件。后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名)IIS6.0 都会把此类后缀文件成功解析为 asp 文件。(I
转载
2024-08-21 13:29:24
51阅读
Nginx历史上曾出现过多次解析漏洞,比如80sec发现的解析漏洞,以及后缀名后直接添加%00截断导致代码执行的解析漏洞。但是在2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行,其影响版本为:nginx 0.8.41 – 1.5.6,范围较广。为了更深入的了解漏洞产生的原因,笔者根据官方补丁(http://nginx.org/download/pa
转载
2024-05-25 18:36:52
204阅读
一 、此次漏洞分析1 nginx HTTP/2漏洞[nginx-announce] nginx安全公告(CVE-2018-16843,CVE-2018-16844)在nginx HTTP / 2实现中发现了两个安全问题,漏洞对服务器的影响: 可能会导致过多的内存消耗(CVE-2018-16843)和CPU使用率(CVE-2018-16844)。影响范围: 这些问题会影响使用ngx_http_v2_
转载
2024-05-09 23:38:19
1023阅读
