目录
一、ngx_http_rewrite_module 模块指令
1.1 if 指令
1.2 set 指令
1.3 break 指令
1.4 return 指令
1.5 rewrite_log 指令
二、Rewrite指令
2.1 URI与URL的区别
2.2 rewrite 基本用法
2.3 rewrite flag(两种类型,四个flag)
2.3.1 临时重定向
2.3.2 永久重定向
2.3.3 break测试案例
2.3.4 last测试案例
2.4 利用rewrite实现自动跳转https
2.5 利用rewrite判断文件是否存在
2.6 根据不同要求,对目录进行重写
2.6.1 如果客户浏览器为MSIE,则rewrite客户端请求到/msie目录下
2.6.2 多目录转换方式
2.6.3 nginx扩展
三、Nginx防盗链
3.1 盗链原理
3.2 实现盗链
3.3 实现防盗链
Nginx服务器利⽤ngx_http_rewrite_module模块解析和处理rewrite请求,此功能依靠 PCRE(perl compatible regularex pression),因此编译之前要安装PCRE库。
一、ngx_http_rewrite_module 模块指令
1.1 if 指令
⽤于条件匹配判断,并根据条件判断结果选择不同的Nginx配置,可以配置在server或location块中进⾏配置,Nginx的if语法仅能使⽤if做单次判断,不⽀持使⽤if else或者if elif这样的多重判断。
Syntax:if (condition) { ... }
Default:—
Context:server, location可以使用变量与正则表达式或字符串进⾏匹配,匹配成功时if指令认为条件为true,否则认为false。
变量与表达式之间使⽤以下符号链接
=: #⽐较变量和字符串是否相等,相等时if指令认为该条件为true,反之为false。
!=: #⽐较变量和字符串是否不相等,不相等时if指令认为条件为true,反之为false。
~: #表示在匹配过程中区分⼤⼩写字符,(可以通过正则表达式匹配),满⾜匹配条件为真,不满⾜为假。
!~: #为区分⼤⼩写字符且匹配结果不匹配,不满⾜为真,满⾜为假。
~*: #表示在匹配过程中不区分⼤⼩写字符,(可以通过正则表达式匹配),满⾜匹配条件为真,不满⾜为假。
!~*: #为不区分⼤⼩字符且匹配结果不匹配,满⾜为假,不满⾜为真。
-f 和 ! -f: #判断请求的⽂件是否存在和是否不存在。
-d 和 ! -d: #判断请求的⽬录是否存在和是否不存在。
-x 和 ! -x: #判断⽂件是否可执⾏和是否不可执⾏。
-e 和 ! -e: #判断请求的⽂件或⽬录是否存在和是否不存在(包括⽂件,⽬录,软链接)。判断客户端用的是http还是https协议访问。
location /main {
index index.html;
default_type text/html;
if ( $scheme = http ){
echo "if-----> $scheme";
}
if ( $scheme = https ){
echo "if ----> $scheme";
}
}判断客户端访问的URI是否存在。
location / {
root /data/nginx/html/pc;
default_type text/html;
if (-f $request_filename) {
echo "file is exist";
}
if (!-f $request_filename) {
echo "file is not exist";
return 409;
}
}1.2 set 指令
可以将 Nginx内置变量 或者 字符串 赋值给$key,key一定要加$,value如果是变量要加$符号。
Syntax:set $variable value;
Default:—
Context:server, location, iflocation /main {
root /data/nginx/html/pc;
default_type text/html;
set $name lck;
echo $name;
set $my_port $server_port;
echo $my_port;
}1.3 break 指令
⽤于中断当前location中的其他Nginx配置,位于break前⾯的配置⽣效,位于break后⾯的指令配置就不再⽣效了。
Syntax:break;
Default:—
Context:server, location, iflocation /main {
root /data/nginx/html/pc;
default_type text/html;
set $name lck;
echo $name;
break;
set $my_port $server_port;
echo $my_port;
}1.4 return 指令
从nginx版本0.8.42开始⽀持,return⽤于完成对请求的处理,并直接向客户端返回响应状态码,⽐如其可以指定重定向URL(对于特殊重定向状态码,301/302等) 或者是指定提示⽂本内容(对于特殊状态码403/500等),处于此指令后的所有配置都将不被执⾏,return可以在server、if和location块进⾏配置。
状态码301:永久重定向
状态码302:临时重定向
Syntax:return code [text]; #返回给客户端的状态码及响应体内容,可以调⽤变量
return code URL; #返回给客户端的跳转的URL地址
return code; #返回给客户端指定的HTTP状态码
Default:—
Context:server, location, iflocation /main {
root /data/nginx/html/pc;
default_type text/html;
if ( $scheme = http ) {
#return 666;
#return 666 "not allow http";
#return 301 http://www.baidu.com; #永久重定向网站
return 500 "service error";
echo "if-----> $scheme"; #return后⾯的将不再执⾏
}
if ( $scheme = https ) {
echo "if ----> $scheme";
}
}1.5 rewrite_log 指令
设置是否开启记录ngx_http_rewrite_module模块⽇志记录到error_log⽇志⽂件当中,需要⽇志级别为notice 。一般不需要配置该指令。
Syntax:rewrite_log on | off;
Default:rewrite_log off;
Context:http, server, location, iferror_log /var/log/nginx/error.log notice; #在main模块下配置
location /main {
default_type text/html;
set $name lck;
echo $name;
rewrite_log on;
break;
set $my_port $server_port;
echo $my_port;
}二、Rewrite指令
通过正则表达式的匹配来改变URI,可以同时存在⼀个或多个指令,按照顺序依次对URI进⾏匹配,rewrite主要是针对⽤户请求的URL或者是URI做具体处理。
2.1 URI与URL的区别
URI(universal resource identifier):通⽤资源标识符,标识⼀个资源的路径,可以不带协议。
URL(uniform resource location):统⼀资源定位符,是⽤于在Internet中描述资源的字符串,是URI的⼦集,主要包括传输协议(scheme)、主机(IP、端⼝号或者域名)和资源具体地址(⽬录和⽂件名)等三部分⼀般格式为 scheme://主机名[:端⼝号][/资源路径],如:http://www.a.com:8080/path/file/index.html就是⼀个URL路径,URL必须带访问协议。
每个URL都是⼀个URI,但是URI不都是URL。
http://example.org:8080/path/to/resource.txt #URI/URL
ftp://example.org/resource.txt #URI/URL
/absolute/path/to/resource.txt #URI2.2 rewrite 基本用法
rewrite将⽤户请求的URI基于regex所描述的模式进⾏检查,匹配到时将其替换为表达式指定的新的URI。
Syntax:rewrite regex replacement [flag];
Default:—
Context:server, location, if
regex:正则表达式匹配客户端请求
replacement:修改后的请求
flag:标记位注意:如果在同⼀级配置块中存在多个rewrite规则,那么会⾃下⽽下逐个检查;被某条件规则替换完成后,会重新⼀轮的替换检查,隐含有循环机制,但不超过10次;如果超过,提示500响应码,[flag]所表示的标志位⽤于控制此循环机制,如果替换后的URL是以http://或https://开头,则替换结果会直接以重向返回给客户端, 即永久重定向301。
2.3 rewrite flag(两种类型,四个flag)
rewrtie有四种不同的flag,分别是redirect、permanent、break和last。
其中前两种是跳转型的flag,后两种是代理型,跳转型是指有客户端浏览器重新对新地址进⾏请求,代理型是在WEB服务器内部实现跳转的。
redirect;
#临时重定向,重写完成后以临时重定向⽅式直接返回重写后⽣成的新URL给客户端,由客户端重新发起请求;使⽤相对路径,或者http://或https://开头,状态码:302
permanent;
#重写完成后以永久重定向⽅式直接返回重写后⽣成的新URL给客户端,由客户端重新发起请求,状态码:301
last;
#重写完成后停⽌对当前URI在当前location中后续的其它重写操作,⽽后对新的URL启动新⼀轮重写检查,不建议在多location配置环境中使⽤
break;
#重写完成后停⽌对当前URL在当前location中后续的其它重写操作,⽽后直接将匹配结果返还给客户端即结束循环并返回数据给客户端,建议在多location配置环境中使⽤
永久重定向与临时重定向的区别:
临时重定向不会在客户端浏览器缓存域名解析记录(A记录);永久重定向会在客户端浏览器缓存域名解析记录(A记录)。
last与break的区别:
break如果匹配到了,不会跳出本次location;last如果匹配到了,会跳出本次location,进入到下一个location的rewrite进行匹配。2.3.1 临时重定向
location / {
rewrite / https://www.baidu.com redirect;
}2.3.2 永久重定向
location / {
rewrite / https://www.baidu.com permanent;
}2.3.3 break测试案例
break测试案例:当客户端访问break的时候,测试通过rewrite将URL重写为test1,然后再通过rewrite将test1重写为test2测试两条write规则最终哪⼀条⽣效,并且测试重写后的URL会不会到其他location重新匹配。
#修改配置文件
location /break {
root /data/nginx;
index index.html;
rewrite ^/break/(.*) /test1/$1 break; #break匹配成功后不再向下匹配,也不会跳转到其他的location,即直接结束匹配并给客户端返回结果数据。
rewrite ^/test1/(.*) /test2/$1 break;
}
location = /test1 {
return 999 "test1";
}
location = /test2 {
return 666 "test2";
}#创建资源路径
mkdir /data/nginx/break
mkdir /data/nginx/test1
mkdir /data/nginx/test2
echo "break" > /data/nginx/break/index.html
echo "test1" > /data/nginx/test1/index.html
echo "test2" > /data/nginx/test2/index.html
#配置文件生效
/apps/nginx/sbin/nginx -t
/apps/nginx/sbin/nginx -s reload测试结果
break适⽤于不改变客户端访问⽅式,但是要将访问的⽬的URL做单次重写的场景,⽐如有个⽹站前端⻚⾯访问路径发⽣变化,旧版本的⽹站数据已经保存到了statics不能丢失,但是要将访问新版本的资源重写到新的静态资源路径到新的⽬录static。
location /statics { #旧路径需要重写请求路径后再响应
root /data/nginx;
index index.html;
rewrite ^/statics/(.*) /static/$1 break;
}
location /static { #新路径直接响应请求
root /data/nginx;
index index.html;
}2.3.4 last测试案例
last:对某个location的URL匹配成功后会停⽌当前location的后续rewrite规则,并结束当前location,然后将匹配⽣成的新URL跳转⾄其他location继续匹配,直到没有location可匹配后将最后⼀次location的数据返回给客户端。
#修改配置文件
location /last {
root /data/nginx;
index index.html;
rewrite ^/last/(.*) /test1/$1 last;
rewrite ^/test1/(.*) /test2/$1 last; #如果第⼀条rewrite规则匹配成功则不执⾏本条,否则执⾏本条rewrite规则。
}
location /test1 {
index index.html;
root /data/nginx;
rewrite ^/test1/(.*) /test2/$1 last;
}
location /test2 {
return 666 "new test2";
}#创建资源路径
mkdir /data/nginx/break
mkdir /data/nginx/test1
mkdir /data/nginx/test2
echo "break" > /data/nginx/break/index.html
echo "test1" > /data/nginx/test1/index.html
echo "test2" > /data/nginx/test2/index.html
#配置文件生效
/apps/nginx/sbin/nginx -t
/apps/nginx/sbin/nginx -s reload测试结果
last适⽤于要不改变客户端访问⽅式但是需做多次⽬的URL重写的场景,场景不是很多。
2.4 利用rewrite实现自动跳转https
如果不用if进行判断,会连续重定向陷入死循环,出现重定向页面错误的界面。
server {
listen 443 ssl;
listen 80;
ssl_certificate /apps/nginx/certs/www.lck.net.crt;
ssl_certificate_key /apps/nginx/certs/www.lck.net.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
server_name www.lck.net;
location / {
root /data/nginx/html/pc;
index index.html;
rewrite / https://www.lck.net permanent;
}
}
所以应该加上if,对客户端的协议进行判断。将http转换成hhtps。
server {
listen 443 ssl;
listen 80;
ssl_certificate /apps/nginx/certs/www.lck.net.crt;
ssl_certificate_key /apps/nginx/certs/www.lck.net.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
server_name www.lck.net;
location / {
root /data/nginx/html/pc;
index index.html;
if ( $scheme = http ){ #未加条件判断,会导致死循环,或者( $scheme != https )不过会扩大范围
rewrite / https://www.lck.net permanent;
}
}
}2.5 利用rewrite判断文件是否存在
当用户访问不存在的页面,直接跳转到默认页面。$request_filename为root+URI,如果不存在则进行跳转。
server {
listen 443 ssl;
listen 80;
ssl_certificate /apps/nginx/certs/www.lck.net.crt;
ssl_certificate_key /apps/nginx/certs/www.lck.net.key;
ssl_session_cache shared:sslcache:20m;
ssl_session_timeout 10m;
server_name www.lck.net;
location / {
root /data/nginx/html/pc;
index index.html;
if (!-f $request_filename) {
#return 404 "该页面不存在";
rewrite (.*) https://www.lck.net permanent;
}
}
}2.6 根据不同要求,对目录进行重写
2.6.1 如果客户浏览器为MSIE,则rewrite客户端请求到/msie目录下
要求: /20200106/static ---> /static?id=20200106
rewrite ^/(\d+)/(.+)/ /$2?id=$1 last;2.6.2 多目录转换方式
要求:
www.magedu.com/images/20200106/1.jpg => www.magedu.com/index.do?name=images&dir=20200106&file=1.jpg
规则配置:
if ($host ~* (.*)\.magedu\.com) {
rewrite ^/(.*)\/(\d+)\/(.*)$ /index.do?name=$1&dir=$2&file=$3 last;
}2.6.3 nginx扩展
https://github.com/agile6v/awesome-nginx #Nginx扩展功能
https://www. digitalocean.com/community/tools/nginx #Nginx在线配置生成器
https://www.runoob.com/lua/lua-tutorial.html #lua教程三、Nginx防盗链
3.1 盗链原理
防盗链基于客户端携带的referer实现,referer是记录打开⼀个⻚⾯之前记录是从哪个⻚⾯跳转过来的标记信息,如果别⼈只链接了⾃⼰⽹站图⽚或某个单独的资源,⽽不是打开了⽹站的整个⻚⾯,这就是盗链,referer就是之前的那个⽹站域名。
nginx收到的referer字段的value有以下几种:
none:请求报⽂⾸部没有referer⾸部,⽐如⽤户直接在浏览器输⼊域名访问web⽹站,就没有referer信息。
blocked:请求报⽂有referer⾸部,但⽆有效值,⽐如为空。
server_names:referer⾸部中包含本主机名及即nginx 监听的server_name。
arbitrary_string:⾃定义指定字符串,但可使⽤*作通配符。
regular expression:被指定的正则表达式模式匹配到的字符串,要使⽤~开头,例如:.*\.magedu\.com。3.2 实现盗链
实验环境:被盗链端10.0.0.11 盗链端服务器10.0.0.12
盗链端服务器配置
server {
listen 80;
server_name www.lcklck.net;
location / {
index index.html;
root "/data/nginx/html/lcklck";
access_log /apps/nginx/logs/www.lcklck.net.log access_json;
}
}mkdir /data/nginx/html/lcklck
cat /data/nginx/html/lcklck/index.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>盗链⻚⾯</title>
</head>
<body>
<a href="http://www.lck.net">测试盗链</a>
<img src="http://www.lck.net/images/1.jpg">
</body>
</html>被盗链端服务器配置
server {
listen 80;
server_name www.lck.net;
location = /images {
root /data/nginx/html;
index index.html;
access_log /apps/nginx/logs/www.lck.net.log access_json;
}
}
在/data/nginx/html/images/目录下放一张图片被盗链端的访问日志会出现以下字段
"referer":"http://www.lcklck.net/"3.3 实现防盗链
Syntax:valid_referers none | blocked | server_names | string ...;
Default:—
Context:server, location在被盗链端服务器配置,防止被别的网站盗链。
location /images {
root /data/nginx/html/pc;
index index.html;
valid_referers none blocked server_names *.example.com example.* www.example.org/galleries/ ~\.google\.;
if ($invalid_referer) { #除了以上valid_referers匹配有效以外,无效的直接拒绝
return 403;
}
}location ^~ /images {
root /data/nginx;
index index.html;
valid_referers none blocked server_names *.magedu.com www.lck.* api.online.test/v1/hostlist ~\.google\. ~\.baidu\.; #定义有效的referer
if ($invalid_referer) { #假如是使⽤其他的⽆效的referer访问:
return 403; #返回状态码403
}
}
