Nginx

通过 Nginx 绕过 X-Frame-Options 限制

通过 Nginx 绕过 X-Frame-Options 限制 X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面是否可以在 <frame>, <iframe>, <embed> 或者 <object> 中展现的标记。站点可以通过确保网站没有被嵌入到别人的站点里面，从而避免 Clickjacking 攻击。通过 Nginx 的作为正向代理，我们可以绕过 X-Frame-Options 限制成功的将第三方网页嵌入到自己的页面中。 X-Frame-Options 响应头有三个可能的值： deny: 表示该页面不允许在 frame 中展示，即便是在相同域名的页面中嵌套也不允许。 sameorigin: 表示该页面可以在相同域名页面的 frame 中展示。 allow-from uri: 表示该页面可以在指定来源的 frame 中展示。在 Chrome 尝试加载 frame 的内容时，如果 X-Frame-Options 响应头设置为禁止访问，那么 Chrome 会在控制台中显示如下错误。 Refuse to display 'http://192.168.20.101:8080' in a frame because it set 'X-Frame-Options' to 'deny'. server { listen 8080; location / { proxy_hide_header X-Frame-Options; proxy_pass http://{target}; } } 这也当请求 http://{proxy_server}:8080 时，nginx 会做代理转发到 http://{target}，同时在返回结果的时候会隐藏掉 X-Frame-Options 相应头，这样我们自己的网页就能正常通过 iFrame 载入目标网页了。

Monday, April 26, 2021 閱讀

Setting up JWT Authentication

Setting up JWT Authentication Nginx 实现 JWT 验证-基于 OpenResty 实现

Friday, April 23, 2021 閱讀

Nginx SSL/TLS configuration with TLSv1.2 and TLSv1.3 - ECDHE and strong ciphers suite (Openssl 1.1.1)

Nginx SSL/TLS configuration with TLSv1.2 and TLSv1.3 - ECDHE and strong ciphers suite (Openssl 1.1.1) ssl.conf ## # SSL Settings (TLSv1.2 and TLSv1.3) ## ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'TLS13+AESGCM+AES128:EECDH+AES128'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; ssl_session_tickets off; ssl_ecdh_curve X25519:sect571r1:secp521r1:secp384r1 universal-ssl.conf ## # SSL Settings (TLSv1.0 + TLSv1.1 + TLSv1.2 + TLSv1.3) ## ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; ssl_ciphers 'TLS13+AESG+AES128:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES25GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:DHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-R-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-S:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS'; ssl_prefer_server_ciphers on; ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d; ssl_session_tickets off; ssl_ecdh_curve X25519:sect571r1:secp521r1:secp384r1;

Friday, January 22, 2021 閱讀

2020年，最新NGINX的ngx_http_geoip2模块以精准禁止特定国家或者地区IP访问

2020 年，最新 NGINX 的 ngx_http_geoip2 模块以精准禁止特定国家或者地区 IP 访问 centos7 下安装 GeoIP2，在 nginx 中根据 ip 地址对应的国家转发请求安装 geoip2 lib cd /usr/local/src rm -f libmaxminddb-1.4.2.tar.gz wget https://github.com/maxmind/libmaxminddb/releases/download/1.4.2/libmaxminddb-1.4.2.tar.gz tar -xzf libmaxminddb-1.4.2.tar.gz cd libmaxminddb-1.4.2 yum install gcc gcc-c++ make -y ./configure make make check sudo make install echo '/usr/local/lib' > /etc/ld.so.conf.d/geoip.conf sudo ldconfig 下载 ngx_http_geoip2_module 模块 cd /usr/local/src wget https://github.com/leev/ngx_http_geoip2_module/archive/3.3.tar.gz tar -xzf 3.3.tar.gz mv ngx_http_geoip2_module-3.3 ngx_http_geoip2_module # nginx集成 cd /usr/local/src wget http://nginx.org/download/nginx-1.16.1.tar.gz tar -zxf nginx-1.16.1.tar.gz cd nginx-1.16.1 useradd -M -s /sbin/nologin www yum install gcc gcc-c++ make pcre-devel zlib-devel openssl-devel -y ./configure --user=www --group=www --prefix=/usr/local/nginx \ --with-ld-opt="-Wl,-rpath -Wl,/usr/local/lib" \ --with-http_sub_module \ --with-http_realip_module \ --with-http_gzip_static_module \ --with-http_ssl_module \ --with-http_v2_module \ --add-module=/usr/local/src/ngx_http_geoip2_module make make install geoip2 IP 地址库下载 2020 年最新 GeoLite2-City.mmdb 无法直接下载，必须注册 maxmind 账号

Tuesday, October 27, 2020 閱讀

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen

使用 Nginx HTTPS 與 Basic Auth 反向代理 VMware ESXi 6.5 修復 VMRC /screen server { listen 80; server_name esxi.hackion.com; return 301 https://$server_name$request_uri; } server { listen 443 ssl; server_name esxi.hackion.com; ssl_certificate /mycert.crt; ssl_certificate_key /mykey.key; location / { auth_basic "Restricted Content"; auth_basic_user_file /etc/nginx/.htpasswd; proxy_set_header Upgrade $http_upgrade; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Origin ''; proxy_set_header Authorization ''; #Don't pass the Nginx Basic Auth to ESXi or it will break VMRC. proxy_pass_header X-XSRF-TOKEN; proxy_pass https://esxi_server; proxy_send_timeout 300; proxy_read_timeout 300; send_timeout 300; client_max_body_size 1000m; # enables WS support proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } } server { listen 443 ssl http2; # ssl_certificate and ssl_certificate_key are required ssl_certificate /etc/letsencrypt/live/myletsencryptdomain/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/myletsencryptdomain/privkey.pem; include /etc/nginx/snippets/ssl-params.conf; # removed DH params as my ssl-params.conf specifies to only use ECDHE key exchange. server_name fqdn.extern; location / { proxy_set_header Host $http_host; proxy_set_header X-Real-IP $remote_addr; proxy_ssl_verify off; # No need on isolated LAN proxy_pass https://vcenter.ip; # esxi IP Address proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_buffering off; client_max_body_size 0; proxy_read_timeout 36000s; proxy_redirect https://fqdn.local/ https://fqdn.extern/; # read comment below # replace vcenter-hostname with your actual vcenter's hostname, and esxi with your nginx's server_name. } location /websso/SAML2 { proxy_set_header Host fqdn.local; # your actual vcenter's hostname proxy_set_header X-Real-IP $remote_addr; proxy_ssl_verify off; # No need on isolated LAN proxy_pass https://vcenter.ip; # esxi IP Address proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_buffering off; client_max_body_size 0; proxy_read_timeout 36000s; proxy_ssl_session_reuse on; proxy_redirect https://fqdn.local/ https://fqdn.extern/; # read comment below # replace vcenter-hostname with your actual vcenter's hostname, and esxi with your nginx's server_name. } }

Saturday, October 17, 2020 閱讀

nginx 添加第三方nginx_upstream_check_module 模块实现健康状态检测

nginx 添加第三方 nginx_upstream_check_module 模块实现健康状态检测 nginx_upstream_check_module Health check HTTP servers inside an upstream nginx.conf http { upstream cluster { # simple round-robin server 192.168.0.1:80; server 192.168.0.2:80; check interval=5000 rise=1 fall=3 timeout=4000; #check interval=3000 rise=2 fall=5 timeout=1000 type=ssl_hello; #check interval=3000 rise=2 fall=5 timeout=1000 type=http; #check_http_send "HEAD / HTTP/1.0\r\n\r\n"; #check_http_expect_alive http_2xx http_3xx; } ... check syntax: *check interval=milliseconds [fall=count] [rise=count] [timeout=milliseconds] [default_down=true|false] [type=tcp|http|ssl_hello|mysql|ajp|fastcgi]* 默认配置：interval=3000 fall=5 rise=2 timeout=1000 default_down=true type=tcp* ... interval：检测间隔 3 秒 fall: 连续检测失败次数 5 次时，认定 relaserver is down rise: 连续检测成功 2 次时，认定 relaserver is up timeout: 超时 1 秒 default_down: 初始状态为 down,只有检测通过后才为 up type: 检测类型方式 tcp tcp :tcp 套接字,不建议使用，后端业务未 100%启动完成,前端已经放开访问的情况 ssl_hello：发送 hello 报文并接收 relaserver 返回的 hello 报文 http: 自定义发送一个请求，判断上游 relaserver 接收并处理 mysql: 连接到 mysql 服务器，判断上游 relaserver 是否还存在 ajp: 发送 AJP Cping 数据包，接收并解析 AJP Cpong 响应以诊断上游 relaserver 是否还存活(AJP tomcat 内置的一种协议) fastcgi: php 程序是否存活 example

Sunday, April 26, 2020 閱讀

Nginx 如何防禦 DDoS 攻擊？

Nginx 如何防禦 DDoS 攻擊？ Nginx 限制訪問速率和最大併發連線數模組–limit（防止 DDoS 攻擊） ngx_http_limit_req_module limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;

Friday, December 20, 2019 閱讀

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出

使用 Nginx 和 mod_pagespeed 自動將圖片轉換為 WebP 並輸出編譯 ngx_pagespeed 首先確保 Nginx 有 --with-compat 編譯參數，這樣就不需要按照一些奇怪的教學讓大家從頭開始編譯 Nginx incubator: https://github.com/apache/incubator-pagespeed-ngx.git # 切換到 nginx 原始碼目錄下開始設定編譯環境 ./configure --with-compat --add-dynamic-module=../incubator-pagespeed-ngx # 編譯 modules make modules # 將編譯好的 module 放到 nginx 目錄下 sudo cp objs/ngx_pagespeed.so /etc/nginx/modules/ # 建立快取資料夾以存放自動轉換的圖片 sudo mkdir -p /var/ngx_pagespeed_cache sudo chown -R www-data:www-data /var/ngx_pagespeed_cache load_module modules/ngx_pagespeed.so; # enable pagespeed module on this server block pagespeed on; # Needs to exist and be writable by nginx. Use tmpfs for best performance. pagespeed FileCachePath /var/ngx_pagespeed_cache; # Ensure requests for pagespeed optimized resources go to the pagespeed handler # and no extraneous headers get set. location ~ "\.pagespeed\.([a-z]\.)?[a-z]{2}\.[^.]{10}\.[^.]+" { add_header "" ""; } location ~ "^/pagespeed_static/" { } location ~ "^/ngx_pagespeed_beacon$" { } pagespeed RewriteLevel CoreFilters; 其中最後一段（pagespeed RewriteLevel CoreFilters;）表示啟用的最佳化方式，包含一些基礎的最佳化，例如：

Monday, October 7, 2019 閱讀

用 Nginx 強制檔案下載

用 Nginx 強制檔案下載 add_header Content-Disposition 'attachment;'; server { listen 80; server_name my.domain.com; location ~ ^.*/(?P<request_basename>[^/]+\.(mp3))$ { root /path/to/mp3/ add_header Content-Disposition 'attachment; filename="$request_basename"'; } } { listen 80; server_name backup.baifu-tech.net; root /data/backup/rechargecent-mago; location / { auth_basic "baifu backup center"; auth_basic_user_file /etc/nginx/ssl/htpasswd; autoindex on; autoindex_exact_size off; autoindex_localtime on; } }

Monday, August 19, 2019 閱讀

Nginx 請求處理流程你了解嗎？

Nginx 請求處理流程你了解嗎？ 11 個處理階段 1）NGX_HTTP_POST_READ_PHASE：接收到完整的 HTTP 標頭後處理的階段，位於 URI 重寫之前。實際上很少有模組會註冊在該階段，預設情況下會被跳過。 2）NGX_HTTP_SERVER_REWRITE_PHASE：在 URI 與 location 匹配前修改 URI 的階段，用於重新導向。該階段執行 server 區塊內、location 區塊外的重寫指令。在讀取請求標頭的過程中，nginx 會根據 host 及埠號找到對應的虛擬主機設定。 3）NGX_HTTP_FIND_CONFIG_PHASE：根據 URI 尋找匹配的 location 設定項階段，使用重寫後的 URI 來查找對應的 location。需要注意的是該階段可能會被執行多次，因為也可能有 location 級別的重寫指令。 4）NGX_HTTP_REWRITE_PHASE：上一階段找到 location 後再次修改 URI，屬於 location 級別的 URI 重寫階段，也可能會被執行多次。 5）NGX_HTTP_POST_REWRITE_PHASE：防止重寫 URL 後導致的死循環，屬於 location 重寫的下一階段，用來檢查上階段是否有 URI 重寫，並根據結果跳轉到合適的階段。 6）NGX_HTTP_PREACCESS_PHASE：下一階段之前的準備，屬於存取權限控制的前一階段。一般也用於存取控制，例如限制存取頻率、連線數等。 7）NGX_HTTP_ACCESS_PHASE：讓 HTTP 模組判斷是否允許請求進入 Nginx 伺服器的存取控制階段，例如基於 IP 白名單/黑名單、使用者名稱密碼等的權限控制。 8）NGX_HTTP_POST_ACCESS_PHASE：存取控制的後一階段，根據上一階段的執行結果進行處理，向使用者送出拒絕服務的錯誤碼，用來回應上一階段的拒絕。 9）NGX_HTTP_TRY_FILES_PHASE：為存取靜態檔案資源而設置，try_files 指令的處理階段。如果沒有設定 try_files 指令，該階段會被跳過。 10）NGX_HTTP_CONTENT_PHASE：

Thursday, March 7, 2019 閱讀

Nginx 访问日志中记录毫秒级别的时间精度

Nginx 的 access log 可以记录毫秒级的时间戳，但是是以 EPOCH 开始的毫秒数，比如 1503544071.865, 另一个变量 $time_local 记录的是秒级别的时间格式，比如 24/Aug/2017:11:07:51 +0800，在业务量大的时候，我们需要记录毫秒精度的时间格式，比如 24/Aug/2017:11:07:51.865 +0800, 这个可以通过 Lua 实现。首先需要在 nginx.conf 中定义一个变量，叫做 time_millis，并初始化为空。类似于使用 auto-ssl 获取证书的时候需要指定一个 fallback 的自签证书。 map $host $time_millis { default ''; } 如果不定义这个变量，在 log_format 中引用的时候会报错。使用 Lua 获取毫秒数，并追加到 $time_local 的末尾。 log_by_lua_block { millis = string.gsub(ngx.var.msec, "(%d+).(%d+)", "%2") ngx.var.time_millis = string.gsub(ngx.var.time_local, "(.+) (.+)", "%1." .. millis .. " %2") } 在 log_format 中将 $time_local 改为 $time_millis http { map $host $time_millis { default ''; } log_by_lua_block { millis = string.gsub(ngx.var.msec, "(%d+).(%d+)", "%2") ngx.var.time_millis = string.gsub(ngx.var.time_local, "(.+) (.+)", "%1." .. millis .. " %2") } log_format main '$remote_addr - $remote_user [$time_millis] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" $msec "$http_x_forwarded_for" $host $request_time $upstream_response_time $scheme "$request_body"'; }

Tuesday, July 24, 2018 閱讀

與 DDoS 奮戰：nginx, iptables 與 fail2ban

Friday, July 20, 2018 閱讀