openresty、nginx 拦截非法请求, referer模块 ngx_http_referer_module

已于 2022-12-11 21:49:29 修改
阅读量2.4k 收藏
点赞数
分类专栏: 经验分享 系统优化 nginx|openresty 文章标签: nginx http web 正则表达式
于 2020-06-12 19:43:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/sunny_day_day/article/details/106722428
版权

referer模块 ngx_http_referer_module 默认编译进nginx

valid_referers 指令

官网可参考 http://nginx.org/en/docs/http/ngx_http_referer_module.html#valid_referers

| Syntax: | valid_referers none | blocked | server_names | string ...; |
|–|–|
|Default: | — |
|Context: | server, location|

参数说明

none 允许缺失referer头部请求访问

block 允许有referer头部请求访问

server_names 如果server_names与本机server_name某个域名匹配则允许访问

正则表达式  匹配上允许访问

域名前缀或后缀匹配上 也允许访问

invalid_referer 变量 允许访问时值是空 不允许访问时值是空

referer_hash_bucket_size 缓存

referer_hash_max_size 缓存最大值

示例:

拦截1–指定拦截

server {
    server_name xxx.xxxx.com;

    error_log logs/myerror.log debug;
    root html;
    location /{
        valid_referers none blocked server_names
                       *.555.pub www.404.cn/nginx/
                       ~\.google\.;

        if ($invalid_referer) {
                return 403;
        }

        return 200 'valid\n';
    }

}

拦截来着百度搜索的请求

返回404
if ($http_referer ~ 'baidu.com')
{
    return 404;
}

或者

返回跳转页面
if ($http_referer ~ 'baidu.com')
{
    return 200 "<html><script>window.location.href='//$host$request_uri';</script></html>";
}

拦截2–空拦截

为空访问返回不存在

valid_referers server_names ~.;
if ($invalid_referer) {
    #return   403;
    root html;
}

综合示例

location /nacos/ {
 set $flag 0;
    if ($remote_addr !~ ^(10.0.37.155|10.0.37.154|10.0.37.156|10.0.37.162|10.0.37.163|10.0.37.164|10.0.37.165|10.0.37.157|10.0.37.158)) {set $flag 1;}
    if ($host ~ "^hn8.nw109.cc1*$") {set $flag 0;}
    if ($flag = 1) {return 403;}
    proxy_pass http://nacosserv;
  }
  error_page 403 /403page.html;
  location = /403page.html{
      root html;
  }
懂王一定懂nginx系列(二):nginx封禁恶意请求,没有人比我更懂
404烫烫烫烫的博客
08-10 1148
标题纯属开玩笑哈,不要介意,更多nginx内容请访问从今天开始种树 前言 恶意请求实属烦人,几分钟都能请求几百次,对于小站而言无疑增加了大量负担,辛辛苦苦原创的内容,几分钟被这些恶意请求白嫖个干干净净,泪目。所以针对性的搜集实验了一些方法来尽可能避免这些恶意请求的访问,希望能帮助各位需要的懂懂们。 直接开整 封禁一些特有请求头 作为一个爬虫小手,对毫不限制的请求次数是深恶痛绝,而且大部分人应对基本反爬还会伪造个请求头什么的,但是下面这个ip真是把流氓精神体现得淋漓尽致。 它的访问次数没有截全,一秒钟大.
centos下nginx实现按国家/地域封禁、按ip频率限流能力、ngx_http_geoip2_modulengx_http_geoip_module的区分
zhangpinghao的专栏
09-25 579
ngx_http_geoip2_module 支持指定字段来进行ip解析,而ngx_http_geoip_module只能用remote_addr解析,这对上层还有网关或者防火墙的无法实现。但从实际使用来看,同一个ip ngx_http_geoip_module 能查出来城市,但是 ngx_http_geoip2_module 查不出来的情况很多。ngx_http_geoip_module 使用 .dat数据库,更老,数据已经不再维护。模块nginx参数如下。openresty版。
nginx 配置ssl配置文件内容
知识的灯塔,梦想的航船
11-19 3014
server { listen 443 ssl; server_name www.langmanezhuang.com; # 改为绑定证书的域名 # ssl 配置 #ssl on; ssl_certificate 1_langmanezhuang.com_bundle.crt; # 改为自己申请得到的 crt 文件...
nginx refer与origin的异常数据拦截
最新发布
runrun117的博客
03-27 161
2、只有当referer的最前面有https://或者http://时,才可以,例如https://abc.cn:123 referer才放行。1、以https://testtest.abc.cn:8001、https://10.124.111.111:8111 为开头的。map的写法与valid_referers的写法,对~^(.*\.)?valid_referers none ~*\.abc\.cn 是不行的。valid_referers none *.abc.cn 是不行的。
Nginxngx_http_referer_module模块
aa52013140813的专栏
11-28 1185
nginx模块ngx_http_referer_module通常用于阻挡来源非法的域名请求,我们应该牢记。下面这篇文章主要介绍了nginx利用referer指令实现防盗链配置的相关资料。 实现图片防盗链 实例: location ~* \.(gif|jpg|png|webp)$ { valid_referers none blocked domain.com *.doma...
ngx_http_referer_module模块
weixin_34283445的博客
03-29 152
模块用来阻止Referer首部无有效值的请求访问,可防止盗链1、 valid_referers none|blocked|server_names|string ...;定义referer首部的合法可用值,不能匹配的将是非法值none:请求报文首部没有referer首部blocked:请求报文有referer首部,但无有效值server_names:参数,其可以有值...
Openresty日志输出请求ngx.req.raw_header ngx.log
qq_33598378的博客
08-27 1817
Openresty作反向代理,有时候需要通过日志观察所有进来的请求信息,包括请求头、请求体等,可以通过以下方式将日志输出到log文件中。 编辑nginx.conf文件 error_log logs/error.log info; http { include mime.types; default_type application/octet-stream; log_format main '$remote_addr - $remote_user [$time
使用Openresty安装Nginx+lua,解决$request_body为空的问题
DangerGuy的博客
12-29 1009
使用Openresty安装Nginx+lua 最新Openresty下载地址 wget https://openresty.org/download/openresty-1.19.3.1.tar.gz id nginx || useradd nginx -M yum install pcre-devel openssl-devel gcc curl tar xf openresty-1.19.3.1.tar.gz cd openresty-1.19.3.1 ./configure --prefix=/usr
让你的nginx支持分布式追踪opentracing
期待幸福
07-04 916
NGINX 是一个通用且流行的应用程序。也是最流行的 Web 服务器,它可用于提供静态文件内容,但也通常与其他服务一起用作分布式系统中的组件,在其中它用作反向代理、负载均衡 或 API 网关。分布式追踪 是一种可用于分析与监控应用程序的机制,将追踪在从源到目的的整个过程中的单个请求,这与仅通过单个应用程序域来追踪请求的形式不同。换句话说,我们可以说分布式追踪是对跨多个系统的多个请求的拼接。拼接通常由一个或多个相关 ID 完成,并且跟踪通常是一组记录的、跨所有系统的结构化日志事件,存储在一个中心位置。在这种
nginx 服务器的响应头,详解Nginx服务器中HTTP Headers相关的模块配置使用
weixin_30139729的博客
07-30 3954
ngx_http_headers_module模块一. 前言ngx_http_headers_module模块提供了两个重要的指令add_header和expires,来添加 “Expires” 和 “Cache-Control” 头字段,对响应头添加任何域字段。add_header可以用来标示请求访问到哪台服务器上,这个也可以通过nginx模块nginx-http-footer-filter研究...
nginx屏蔽指定接口(URL)的操作方式
09-29
主要介绍了nginx屏蔽指定接口(URL)的操作方式,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
Nginx防盗链模块ngx_http_referer_module
weixin_30709809的博客
06-29 260
ngx_http_referer_module⽤用来阻⽌止Referer⾸首部⽆无有效值的请求访问,可防⽌止盗链指令:12.1 valid_referers定义 referer ⾸首部的合法可⽤用值,不不能匹配的将是⾮非法值Syntax: valid_referers none | blocked |server_names | string …;`Default: —Context: serve...
Nginx 阻止非POST 请求访问
kuang1144的博客
02-03 2147
测试配置环境: Debian 9使用Nginx 版本:Tengine 2.3.2 某些特殊情况下,需要Nginx 对二级目录限制非特定类似不允许访问: 比如域名目录:https://adc123.net/rate/paxful 访问时,只允许接口POST 方式被请求到,其它一切类似都返回403,或者301 重定向跳回到域名根目录; 操作方式有两种:第一种: 返回直接拒绝或者return 一个301 以下是单独拦截POST 以后的请求 location /rate/paxful { if
通过配置 Nginx 抵御不合法请求
weixin_33939843的博客
06-06 266
使用此模块主要用来限制每秒请求数量,至于依据什么条件限制是由我们来自定义的。 官方文档 Module ngx_http_limit_req_module 中文翻译的 nginx限制请求ngx_http_limit_req_module模块 文档讲的很详细了,大致说下: limit_req_zone $variable zone=name:size ra...
Nginx Referer校验模块 防盗链和CSRF ngx_http_referer_module
键盘上流淌的日子
10-16 2781
欢迎大家关注本博,同时欢迎大家评论交流,可以给个赞哦!!!   ngx_http_referer_module用于通过检测"Referer"请求头来防御CSRF漏洞,过滤掉具有无效"Referer"头的请求。   需要注意的是,使用适当的"Referer"标头值来伪造请求非常容易,因此,此模块并不能彻底组织此类请求。应用时,还需考虑到常规浏览器或有效请求可能不会发送"Referer"请求头。   什么是Referer   Http Referer是Header的一部分,当浏览器向web服务器发送请求的时.
利用nginxngx_http_referer_module模块设置防盗链
weixin_34248258的博客
01-22 228
ngx_http_referer_module模块允许拦截Referer请求头中含有非法值的请求,阻止它们访问站点。 需要注意的是伪造一个有效的“Referer请求头是相当容易的, 因此这个模块的预期目的不在于彻底地阻止这些非法请求,而是为了阻止由正常浏览器发出的大规模此类请求。 还有一点需要注意,即使正常浏览器发送的合法请求,也可能没有“Referer请求头。(本文...
Nginx如何禁用非法请求http
ziruominglin的专栏
10-20 4171
server {         listen  80;         server_name xxxxxxx;            if ($request_method !~* GET|POST) {             return 405;         } } 在nginx配置文件中server中添加即可
nginx如何从Referer解析路径,比如Refererhttp://ai-webapi.bpmhome.cn:8001/8001/gpustack/,我想得到8001/gpustack/
03-21
<think>嗯,用户现在的问题是关于如何从NginxReferer头中解析出特定的路径部分,比如他们给出的例子是http://ai-webapi.bpmhome.cn:8001/8001/gpustack/,想要提取出8001/gpustack/这部分。我需要先理解用户的具体需求,然后思考Nginx中可以实现的方法。 首先,用户已经知道如何获取Referer,现在的问题是如何解析其中的路径部分。在之前的回答中,我提到了使用Nginx的内置变量和正则表达式来提取信息。用户可能是在处理防盗链、流量分析或者动态内容调整时,需要根据Referer的路径来做不同的处理。比如,根据不同的路径段来路由请求或者记录日志。 接下来,我需要考虑Nginx的配置方法。Nginx的map指令和正则表达式是处理这类问题的常用工具。此外,可能需要使用if语句或者ngx_http_lua_module模块来更灵活地处理字符串。用户给出的例子中,Referer的URL结构明确,端口号后的路径部分是需要提取的,所以需要从URL中截取端口号后的路径。 首先,分析URL的结构:http://ai-webapi.bpmhome.cn:8001/8001/gpustack/。这里,主机部分是ai-webapi.bpmhome.cn:8001,路径是/8001/gpustack/。用户需要提取的是端口后的路径部分,即8001/gpustack/。但是注意到端口号是8001,而路径的第一个目录也是8001,这可能是一个重复或者特定的结构,用户可能希望动态提取端口后的路径,而不管端口号是什么。 可能的解决方法是使用正则表达式匹配Referer中的路径部分。例如,匹配http://或https://开头,接着是域名和端口,然后捕获端口后面的路径部分。正则表达式可以写成^https?://[^/]+:[0-9]+/(.*)$,这样捕获组1就是端口后的路径。但需要考虑是否有端口的情况,比如有些URL可能没有显式端口(如默认的80或443)。所以可能需要更灵活的正则表达式,例如^https?://[^/]+(:[0-9]+)?/(.*)$,这样无论有没有端口都能匹配,并且捕获路径部分。 然后,在Nginx中如何实现这个正则匹配。Nginx的map指令可以用于将变量映射到另一个变量,结合正则表达式来提取路径。另外,也可以使用if语句结合capture groups,但需要注意if的局限性,比如作用域问题。或者使用Lua模块来更灵活地处理字符串,但用户可能没有安装该模块,所以可能需要给出两种方案:一种是纯Nginx配置,另一种需要Lua支持。 比如,使用map指令: map $http_referer $referer_path { default ""; ~*^https?://[^/]+(:[0-9]+)?/(?<path>.*)$ $path; } 这样,$referer_path变量就会被赋值为路径部分。但需要注意Nginx的正则语法是否支持命名捕获组,实际上Nginx的map指令使用的是PCRE正则,支持命名捕获组,但可能需要使用变量名来引用,比如使用$1而不是命名组。可能需要调整正则表达式,使其正确捕获路径部分。 例如,正则表达式可以调整为~*^https?://[^/]+(:[0-9]+)?/(.*)$,然后捕获组$1即为路径部分。然后在map指令中将$1赋值给$referer_path变量。 但map指令中的正则匹配如果成功,默认会将第一个捕获组的值赋给变量。所以可以这样写: map $http_referer $referer_path { ~^https?://[^/]+(:[0-9]+)?/(.*)$ $2; default ''; } 这里,正则表达式中的第二个捕获组(.*)对应$2,因为第一个捕获组是(:[0-9]+)?部分,可能为空。所以用户需要的是端口后面的路径,不管端口是否存在,所以需要正确捕获路径部分。例如,http://example.com:8001/path/to/resource,那么$1是:8001,$2是path/to/resource。而如果是http://example.com/path/to/resource,则$1不存在,$2是path/to/resource。但这样,当URL中没有端口时,第二个捕获组是否会正确捕获?可能需要调整正则表达式,使得端口部分是可选的,并且路径部分正确捕获。 可能更好的正则表达式是^https?://[^:/]+(:\d+)?/(.*)$,这样,主机名部分不能包含端口分隔符,然后端口是可选的,后面跟着路径。这样,捕获组1是端口部分,捕获组2是路径。因此,在map中,我们需要获取$2作为路径。但用户案例中的路径是8001/gpustack/,而端口是8001,这可能造成混淆,但用户的需求是获取端口后的路径,不管端口是什么,所以这个方法是可行的。 但是,在用户给出的例子中,路径的第一个目录和端口号相同,这是否是普遍情况?用户可能希望无论端口是什么,都获取端口后的路径部分,而不管端口号是否存在。因此,正则表达式应该能够处理有端口和无端口的情况,正确捕获路径部分。 另一种方法是使用Lua脚本,通过ngx.var.http_referer获取Referer,然后用字符串处理函数分割出路径部分。这需要Nginx安装了ngx_http_lua_module模块。例如: location / { access_by_lua_block { local referer = ngx.var.http_referer if referer then local _, _, path = string.find(referer, "^https?://[^/]+(:%d+)?/(.*)") ngx.var.referer_path = path or "" end } } 这样,path变量就是端口后的路径部分。这种方法更灵活,但需要Lua支持。 总结下来,用户的问题需要从Referer中提取端口后的路径部分,可以有两种方法:使用Nginx的map指令和正则表达式,或者使用Lua模块。需要根据用户的实际环境和需求选择合适的方法。此外,还需要考虑Referer可能不存在的情况,或者格式不正确的情况,设置默认值。 最后,在回答中需要给出具体的配置示例,并解释每一步的作用,确保用户能够理解并正确应用。同时,提醒用户注意正则表达式的编写和测试,确保匹配正确,避免因为正则错误导致提取失败。</think>--- ### 一、核心解决思路 要从Referer中提取路径部分(如 `http://ai-webapi.bpmhome.cn:8001/8001/gpustack/` → 获取 `8001/gpustack/`),需通过 **正则表达式匹配** 或 **字符串截取** 实现。以下是两种Nginx原生方法: --- ### 二、方法1:纯Nginx配置(正则匹配) #### 1. 使用 `map` 指令提取路径 ```nginx # 在http块中定义映射规则 map $http_referer $referer_path { default ""; # 默认值为空 # 正则匹配:捕获端口后的路径部分 ~^https?://[^/]+(:[0-9]+)?/(?<captured_path>.*)$ $captured_path; } # 在server块中使用变量 server { location / { # 将提取的路径存入变量$referer_path add_header X-Referer-Path "$referer_path"; # 可在日志中记录路径 access_log /var/log/nginx/access.log combined ref_path=$referer_path; } } ``` #### 2. 正则解析说明 - **正则表达式分解**: $$ \text{正则:} \quad \verb|^https?://[^/]+(:[0-9]+)?/(.*)$| $$ - `^https?://` → 匹配`http://`或`https://` - `[^/]+` → 匹配域名部分(不含斜杠) - `(:[0-9]+)?` → 可选端口号(如`:8001`) - `/(.*)$` → 捕获端口后的路径(如`/8001/gpustack/`) --- ### 三、方法2:Lua模块高级提取(需安装OpenResty) #### 1. 安装依赖 ```bash # 安装OpenResty(含ngx_http_lua_module) apt-get install openresty ``` #### 2. Nginx配置 ```nginx location / { access_by_lua_block { -- 获取Referer local referer = ngx.var.http_referer if referer then -- 提取路径(忽略协议、域名、端口) local path = string.match(referer, "^https?://[^/]+(:%d+)?/(.*)") -- 存储到变量 ngx.var.referer_path = path or "" end } # 使用变量 add_header X-Referer-Path "$referer_path"; } ``` --- ### 四、验证与调试 #### 1. 测试请求 ```bash # 模拟带Referer请求 curl -H "Referer: http://ai-webapi.bpmhome.cn:8001/8001/gpustack/" http://yourdomain.com ``` #### 2. 查看结果 - **响应头中观察**:检查 `X-Referer-Path` 是否包含 `8001/gpustack/` - **日志验证**:检查日志字段 `ref_path` 的值 --- ### 五、边界情况处理 | 场景 | 解决方案 | |------|----------| | **无Referer** | 通过 `if ($http_referer) { ... }` 过滤空值 | | **非标准URL格式** | 使用更宽松的正则(如 `~*^.*?://[^/]+/(.*)$`) | | **含查询参数** | 在正则中排除 `?`:`/([^?]*)` | --- ### 六、性能优化建议 - **减少正则复杂度**:避免多层嵌套捕获组 - **缓存结果**:对频繁使用的路径值通过 `map` 定义缓存 - **限制匹配范围**:仅在需要的位置(如特定 `location`)启用解析 --- 通过上述方法,可精准提取Referer中的路径部分,适用于 **访问来源追踪**、**动态路由控制** 等场景。建议优先使用Nginx原生方案,若需复杂逻辑再考虑Lua扩展。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值