修改nginx中php的后辍名文件名

最新推荐文章于 2025-01-05 19:19:07 发布
原创 最新推荐文章于 2025-01-05 19:19:07 发布 · 1.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx

本文介绍了如何通过修改Nginx配置使服务器能够正确处理以.html结尾的PHP文件,包括调整Nginx匹配规则及php-fpm的安全配置。此外,还提供了解决方案以将PHP文件的访问路径更改为.html的方法。

由于有一个项目的某个功能逻辑需要回调(项目组提供给第三方接口的地址),但某同事提供了一个html结尾的回调地址。由于某种原因回调地址不能更改。
无奈之下,想出了一个办法那就是修改nginx原来匹配php的地方改为html。

nginx配置:

server
{
    listen 80;
    server_name www.test.com test.com;
    index index.html index.htm index.php;
    root  /home/wwwroot/test/;

    #error_page   404   /404.html;

    location ~ [^/]\.html(/|$)
    {
        try_files $uri =404;
        fastcgi_pass  unix:/tmp/php-cgi.sock;
        fastcgi_index index.php;
        include fastcgi.conf;
    }

    location /nginx_status
    {
        stub_status on;
        access_log   off;
    }

    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
    }

    location ~ .*\.(js|css)?$
    {
        expires      12h;
    }

    location ~ /\.
    {
        deny all;
    }

    access_log  /home/wwwlogs/access.log  access;
}

然后保存nginx配置,并重启nginx

但访问的时候发现:Access denied.

开始我以为是文件权限问题,跑了一大圈,什么该用户所属啊之类。

但最终发现是php的配置问题:
修改:/usr/local/php/etc/php-fpm.conf
在最后的位置加上:security.limit_extensions = .php .html

[global]
pid = /usr/local/php/var/run/php-fpm.pid
error_log = /usr/local/php/var/log/php-fpm.log
log_level = notice

[www]
listen = /tmp/php-cgi.sock
listen.backlog = -1
listen.allowed_clients = 127.0.0.1
listen.owner = www
listen.group = www
listen.mode = 0666
user = www
group = www
pm = dynamic
pm.max_children = 10
pm.start_servers = 2
pm.min_spare_servers = 1
pm.max_spare_servers = 6
request_terminate_timeout = 100
request_slowlog_timeout = 0
slowlog = var/log/slow.log
security.limit_extensions = .php .html

重启php-fpm即可访问。

还有一种情况就是项目的文件还是php扩展名,但想访问的时候要求改成html。
那就改nginx的配置,新增一个rewrite即可:

server
{
    listen 80;
    server_name www.test.com test.com;
    index index.html index.htm index.php;
    root  /home/wwwroot/test/;

    #error_page   404   /404.html;
    if (!-e $request_filename)
    {
        rewrite ^\/(.*)\.html$ /$1.php last;
        break;
    }

    location ~ [^/]\.php(/|$)
    {
        try_files $uri =404;
        fastcgi_pass  unix:/tmp/php-cgi.sock;
        fastcgi_index index.php;
        include fastcgi.conf;
    }

    location /nginx_status
    {
        stub_status on;
        access_log   off;
    }

    location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
    {
        expires      30d;
    }

    location ~ .*\.(js|css)?$
    {
        expires      12h;
    }

    location ~ /\.
    {
        deny all;
    }

    access_log  /home/wwwlogs/access.log  access;
}
nginx简单配置隐藏php后缀(项目真实配置在主配置中情况)
qq_49416650的博客
08-25 2481
php隐藏后缀
nginx一招配置,帮你快速隐藏php后缀名
qq_40907977的博客
05-20 3889
转载来源 : nginx一招配置,帮你快速隐藏php后缀名 :http://www.safebase.cn/article-260260-1.html 摘要: 现在很多人都喜欢用nginx作为Web服务器部署网站,nginx配置起来也是相当的方便,如果你的网站是PHP语言开发的话,下面我们教大家简单的一招快速的隐藏网页的php后缀名,实现一种Pretty URL。使用nginx的try_files指令轻松搞定。在你的nginx配置文件(nginx.conf)里加上一句配置:location / {ttr
文件上传漏洞? 看这一篇就够了-Nginx解析漏洞 修改后缀绕过前端验证 00%截断 安鸾靶场练习
AAAAAAAAAAAA66的博客
12-31 6041
靶场地址 首页 : 安鸾渗透实战平台 - 安鸾学院 目录 文件上传漏洞利用条件 Nginx解析漏洞 文件上传01 (绕过前端验证) 文件上传02 00%截断​ 文件上传漏洞利用条件 1.可以上传php文件,或者上传的文件可以被解析为php文件 2.可以找的到文件上传后的路径 Nginx解析漏洞 该漏洞与Nginxphp版本无关,属于用户配置不当造成的解析漏洞。 实际上就是由于判断文件后缀出现问题,导致我们可以添加一个/.php 后缀 使得系统解析图片木马为php文..
Nginx替换后缀名
好巧~我看到你了
10-22 3604
比如访问 http://localhost:801/index.asp 通过nginx后 http://localhost:801/index.html location / { if ( $request_uri ~* \.asp$){ #截取后缀asp的 rewrite ^/(.*)\.asp$ /$1.html last; #后缀为asp的替...
nginx更改php解析后缀,Nginx PHP-FPM增加PHP后缀解析
weixin_32520565的博客
03-29 532
在很多情况下,我们需要把.html也使用php解析。更改nginx配置文件location~\.(php|do|aspx)?${#这里增加后缀fastcgi_pass127.0.0.1:9000;fastcgi_indexindex.php;fastcgi_paramSCRIPT_FILENAME$document_root$fastcgi_script_name;...
Nginx PHP-FPM增加PHP后缀解析
weixin_34150503的博客
08-04 217
在很多情况下,我们需要把.html也使用php解析。更改nginx配置文件location~\.(php|do|aspx)?${#这里增加后缀 fastcgi_pass127.0.0.1:9000; fastcgi_indexindex.php; fastcgi_p...
nginx php 后缀名,nginx如何去掉php后缀名
weixin_30356603的博客
03-10 695
nginx去掉php后缀名的方法:首先打开相应的代码文件;然后添加代码语句为“location / {try_files $uri $uri/ $uri.php?$args;}”即可。nginx rewrite 隐藏.php后缀我想实现http://xxx.com/post/abc.php隐藏后缀的效果,即:http://xxx.com/post/abc,网上搜了一大堆都只是隐藏index.php...
nginx伪静态隐藏.php后缀,在url后补斜杠/
11-04
按照以上配置完成后,当用户访问类似 `http://example.com/article/` 的 URL 时,Nginx 会自动将其解析为 `http://example.com/article.php`,这样用户就看不到实际的 `.php` 扩展了,从而实现了 URL 的美化。...
Nginx 文件名逻辑漏洞(CVE-2013-4547)
weixin_45534587的博客
01-05 1230
CGI:是一种协议,定义了web服务器传递的数据格式。FastCGI:优化版的CGI程序PHP-CGI:PHP解释器,能够对PHP文件进行解析并返回相应的解析结果PHP-FPM:FastCGI进程管理程序当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名,会将请求的PHP文件交给PHP-CGI去解析。
php前端后缀名绕过,有关上传webshell文件绕过的总结
weixin_39911916的博客
03-28 1425
2017-08-15下午碰到一个站,有两处上传漏洞,通过一个点获取了webshell,尝试另一个点获取shell,还使用了白盒测试,然而并没有绕过。总结一下,碰到文件上传的好事,应该如何绕过后缀名1. 前台脚本检测扩展由于是客户端脚本的检测,任何的逻辑都可以通过burpsuit抓包,直接更改报文内容,替换文件扩展2. Content-Type检测文件类型-绕过Content-Type检测是对h...
nginx伪静态改php后缀,nginx伪静态rewrite支持.htaccess
weixin_28917337的博客
03-17 727
nginx伪静态rewrite支持.htaccess1. 在需要使用.htaccess文件的目录下新建一个.htaccess文件这个.htaccess文件一般discuz,dedecms都自带# .htaccess rewrite rulerewrite ^(.*)/archiver/((fid|tid)-[w-]+.html)$ $1/archiver/index.php?$2 last;re...
nginx php转换成html,nginx 伪静态 php转html
weixin_34544513的博客
06-09 854
项目需要把后缀为php的全转为htmlrewriterewrite /app/(.*).php$ https://$host/app/$1.html permanent;比如域为codecc.cn该rewrite就会把codeccc.cn/app/xxxxx app后面的php文件重写为html/app/(.*).php$(.*) 可以看做事一个变量,代表的意思是匹配任意除换行符外的字符,后面...
Linux安全--为Nginx加上PHP解析功能
m0_74313947的博客
03-08 521
找到Nginx安装的路径。编辑Nginx配置文件。安装php进程管理器。
Nginx如何配置运行无扩展PHP文件或非.PHP扩展文件
抢街饭的专栏
12-01 8373
Nginx如何配置运行无扩展PHP文件或非.PHP扩展文件 使用Apache + PHP 很容易做到运行无扩展PHP文件。 在Nginx中能做到吗?是可以的。 只需将nginx.conf文件中的默认 location ~ .php$ { ….. } 上的正则表达式 更改为: location ~ (|.php)$ { … } 就可以了。 同
怎么把扩展改成PHP扩展,【网络安全】更改php扩展后的文件访问
weixin_27310417的博客
04-12 292
对于有些因素要更改php文件的扩展为非.php的需求时,需要修改应用服务器环境使其支持这类需求。以下基于我自己的开发环境做下记录我的环境是nginx/1.7.5+php7.0。查看命令如下$ nginx -vnginx version: nginx/1.7.5$ php -vPHP 7.0.9 (cli) (built: Jul 21 2016 14:50:47) ( NTS )Copyrigh...
nginx php 后缀名,nginx去掉php后缀名的方法
weixin_42351910的博客
03-10 935
nginx去掉php后缀名的方法发布时间:2020-09-30 14:36:49来源:亿速云阅读:68作者:小新小编给大家分享一下nginx去掉php后缀名的方法,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!nginx去掉php后缀名的方法:首先打开相应的代码文件;然后添加代码语句为“location / {try_fi...
nginx反向代理配置去除前缀
lz610756247的专栏
09-24 1139
使用nginx做反向代理的时候,可以简单的直接把请求原封不动的转发给下一个服务。设置proxy_pass请求只会替换域,如果要根据不同的url后缀来访问不同的服务,则需要通过如下方法: server { listen 8000; server_name abc.com; access_log "pipe:rollback /data/log/nginx/access.log interval=1d baknum=7 maxsize=1
Nginx更改PHP解析后缀
PHPer的技术记录
11-13 5467
location ~ .*\.(php|do)?$                         {                                 try_files $uri =404;                                 fastcgi_pass  unix:/tmp/php-cgi.sock;
Nginx 反向代理内容替换(整理总结一套自己需要的东西)
blind_monkey的博客
02-23 9402
1.修改 nginx 的./configure 模块, 添加反向代理和动态内容替换 #su (先进入 root 状态) # ./configure --prefix=/usr/local/nginx --with-http_ssl_module --with-http_sub_module --with-http_gzip_static_module --with-http_s
Apache HTTPD 多后缀名解析漏洞
最新发布
08-02
<think>我们正在处理用户关于Apache HTTPD多后缀名解析漏洞的查询。根据用户的要求,我们需要提供漏洞的详情、可能的利用方式以及修复方法。同时,我们需要参考提供的引用内容,并确保回答结构清晰、可靠。 根据引用[1]和引用[2]: - 漏洞原因:Apache HTTPD服务器在解析文件时,允许一个文件有多个后缀(以点分割)。它会从最右边开始识别后缀名,如果遇到无法识别的后缀,则向左继续识别。如果配置中使用了`AddHandler`指令(例如`AddHandler application/x-httpd-php .php`)来处理PHP文件,那么只要文件名中包含`.php`后缀(即使它并不是最后一个后缀),该文件就会被当作PHP文件解析。 - 漏洞影响:攻击者可以上传一个看似非PHP的文件(例如`filename.php.jpg`),但由于其中包含`.php`后缀,Apache会将其作为PHP文件解析并执行其中的恶意代码。 - 漏洞与版本无关,属于配置不当导致。 修复方法: 1. 修改配置,避免使用`AddHandler`指令,而是使用`FilesMatch`指令来精确匹配文件类型。例如: ```apache <FilesMatch \.php$> SetHandler application/x-httpd-php </FilesMatch> ``` 这样配置后,只有以`.php`结尾的文件才会被当作PHP文件解析。 2. 禁止上传目录执行脚本:在文件上传目录的配置中,移除PHP处理程序,确保上传目录下的文件不会被当作脚本执行。例如: ```apache <Directory "/var/www/upload"> php_flag engine off # 或者对于Apache 2.4,可以使用: # SetHandler None </Directory> ``` 3. 清理文件后缀:在应用程序中,对上传的文件名进行严格检查,确保只有一个后缀且是允许的类型。 4. 使用`mod_rewrite`阻止恶意请求:可以添加规则来阻止包含多个后缀的请求,特别是包含`.php`的请求。 5. 确保其他后缀不被错误解析:检查服务器配置,确保没有其他非必要后缀被配置为可执行脚本。 相关问题: 1. 如何验证Apache服务器是否存在多后缀解析漏洞? 2. 除了多后缀解析漏洞,Apache HTTPD还有哪些常见的安全漏洞? 3. 如何配置Apache服务器以提高文件上传功能的安全性? 4. 在Nginx服务器中,是否也存在类似的多后缀解析漏洞?如何防范?</think>### Apache HTTPD 多后缀名解析漏洞详情 #### 漏洞原理 Apache HTTPD 在处理文件时存在一个特性:**允许单个文件拥有多个后缀名**(如 `file.php.jpg`)。解析规则如下: 1. 从**最右侧后缀开始识别**(如 `.jpg`) 2. 若无法识别则**向左依次检测**后缀名 3. 遇到可识别的后缀(如 `.php`)时,**直接按该类型解析文件**[^1][^2] **关键触发条件**: ```apache # 危险配置示例(漏洞根源) AddHandler application/x-httpd-php .php ``` 当存在此配置时,上传 `malicious.php.jpg` 文件会被解析为 PHP 脚本执行,因为服务器识别到 `.php` 后缀[^1]。 #### 漏洞利用方式 1. **文件上传绕过** - 攻击者上传伪装文件:`shell.php.jpg` 或 `shell.php.123` - Apache 解析时识别 `.php` 后缀,执行其中的恶意代码 - 经典攻击载荷: ```php <?php system($_GET['cmd']); ?> ``` 2. **结合其他漏洞** - 配合文件上传功能缺陷,突破白单限制 - 通过路径拼接触发解析(如 `/uploads/user_avatar.php.jpg`) #### 修复方法 1. **修改 Apache 配置**(根本解决方案) ```apache # 替换危险的 AddHandler 指令 <FilesMatch \.php$> SetHandler application/x-httpd-php </FilesMatch> ``` 此配置**严格匹配以 `.php` 结尾的文件**,忽略多后缀情况[^1]。 2. **限制上传目录执行权限** ```apache <Directory "/var/www/uploads"> # 禁止执行脚本 php_flag engine off Options -ExecCGI </Directory> ``` 3. **应用程序层防护** - 文件上传时**重命文件**(如生成随机文件名) - 检查文件内容而非依赖后缀名 - 使用 MIME 类型检测(如 `finfo_file()`) 4. **补充方案** - 升级到 Apache 2.4.26+ 并启用 `AllowOverride None` - 使用 WAF 规则拦截异常后缀组合(如 `.php.`) > **注意**:该漏洞与 Apache/PHP 版本无关,纯属配置问题[^1]。修复后需测试 `test.php.jpg` 是否返回源码而非执行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值