nginx作为一款高性能的web服务器和反向代理服务器,广受网站架构师的青睐。但是在使用nginx时,我们也需要关注安全方面的问题,特别是在处理url上。
由于Nginx的灵活性,如果我们不采取一些URL安全策略,就可能受到如下攻击:
- SQL注入
- XSS攻击
- 非法文件下载
- CSRF攻击
- 非法请求访问等
本文将介绍Nginx URL安全策略编写的指南。
一. 前置条件
在编写Nginx URL安全策略之前,需要对以下知识点掌握:
- 正则表达式
- Nginx配置文件语法
- HTTP协议基础知识
二. 输入过滤
Nginx可使用http请求头检测,防止恶意Http请求。具体实现方式是添加类似如下配置到Nginx配置文件中:
if ($http_user_agent ~* "some evil expression") { return 403; }
或者使用Nginx内置的防火墙模块进行输入过滤,如下:
# block ip sends more than 100 requests per 5 seconds limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s; server { location / { limit_conn one 10; limit_req zone=two burst=5 nodelay; } }
该示例做了如下的事情:
- 首先定义了两个zone,即可以存储状态信息的内存区域。(这也意味着如果有很多的访问,这种防护的成本可能会比较高)
- 如果同一个IP地址在 5 秒钟内发送了多于 100 个HTTP请求,则进行屏蔽。
- 如果同一个IP地址在 1 秒钟内发送了多于 5 次HTTP请求,则进行屏蔽。
三. 防SQL注入
在实际开发中,避免SQL注入是必须的。为了防止SQL注入攻击,我们可以如下配置:
location ~* (.php|.asp|.ashx)/?$ { if ($args ~* "select.*from") { return 403; } }
该示例用到了Nginx内置的if模块,防止攻击者使用select语句从数据库中获取数据,如果有这种情况,返回403禁止访问。
四. 防XSS攻击
针对XSS攻击,我们可以加强对输入的检测。如果检测到有可能的XSS攻击,可以将连接重定向到一个安全的URL,或者返回错误信息。
if ($args ~* "<script.>") { return 403; }</script.>
该示例采用了Nginx内置的if模块,检测URL中是否有嵌套了script标签的内容。
五. 防CSRF攻击
在使用Nginx时,为了防止CSRF攻击,需要禁止外部站点的请求。例如,可以增加如下配置:
location / { if ($http_referer !~ "^https?://$host/") { return 403; } }
该示例使用Nginx内置的if模块,限制只能接收$host站点发送的请求,如果来自其他站点的请求,Nginx会返回403。
六. 防文件下载漏洞
为了防止访问不正当的文件,如私人文档、脚本、配置文件等,请使用如下策略:
location ~* .(xls|doc|pdf)$ { valid_referers none blocked server_names; if ($invalid_referer) { return 401; } }
该示例使用Nginx内置的valid_referers模块,当发现请求来自没有经过授权的站点时,会返回401。
七. 禁止一些URL访问
在实际项目中,有些URL可以被攻击者利用,例如admin.php、login.php等。我们可以直接禁止它们的访问。
location ~ /(admin|login).php { deny all; }
该示例的配置,禁止了访问以admin.php和login.php为结尾的URL。
八. 完整示例
最后,根据以上的配置,我们可以得到以下的完整示例:
server { listen 80; server_name yourdomain.com; # 设置过滤规则 location / { # 禁止非法请求 limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s; limit_conn one 10; limit_req zone=two burst=5 nodelay; # 防止XSS攻击 if ($args ~* "<script.>") { return 403; } # 防止SQL注入 if ($args ~* "select.*from") { return 403; } # 禁止admin和login的访问 location ~ /(admin|login).php { deny all; } } # 防止文件下载漏洞 location ~* .(xls|doc|pdf)$ { valid_referers none blocked server_names; if ($invalid_referer) { return 401; } } }</script.>
