Nginx URL安全策略编写指南

nginx作为一款高性能的web服务器和反向代理服务器，广受网站架构师的青睐。但是在使用nginx时，我们也需要关注安全方面的问题，特别是在处理url上。

由于Nginx的灵活性，如果我们不采取一些URL安全策略，就可能受到如下攻击：

1. SQL注入
2. XSS攻击
3. 非法文件下载
4. CSRF攻击
5. 非法请求访问等

本文将介绍Nginx URL安全策略编写的指南。

一. 前置条件

在编写Nginx URL安全策略之前，需要对以下知识点掌握：

1. 正则表达式
2. Nginx配置文件语法
3. HTTP协议基础知识

二. 输入过滤

Nginx可使用http请求头检测，防止恶意Http请求。具体实现方式是添加类似如下配置到Nginx配置文件中：

if ($http_user_agent ~* "some evil expression") {
    return 403;
}

或者使用Nginx内置的防火墙模块进行输入过滤，如下：

# block ip sends more than 100 requests per 5 seconds
limit_conn_zone $binary_remote_addr zone=one:10m;
limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
server {
    location / {
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;
    }
}

该示例做了如下的事情：

1. 首先定义了两个zone，即可以存储状态信息的内存区域。（这也意味着如果有很多的访问，这种防护的成本可能会比较高）
2. 如果同一个IP地址在 5 秒钟内发送了多于 100 个HTTP请求，则进行屏蔽。
3. 如果同一个IP地址在 1 秒钟内发送了多于 5 次HTTP请求，则进行屏蔽。

三. 防SQL注入

在实际开发中，避免SQL注入是必须的。为了防止SQL注入攻击，我们可以如下配置：

location ~* (.php|.asp|.ashx)/?$ {
    if ($args ~* "select.*from") {
        return 403;
    }
}

该示例用到了Nginx内置的if模块，防止攻击者使用select语句从数据库中获取数据，如果有这种情况，返回403禁止访问。

四. 防XSS攻击

针对XSS攻击，我们可以加强对输入的检测。如果检测到有可能的XSS攻击，可以将连接重定向到一个安全的URL，或者返回错误信息。

人民网AIGC-X

国内科研机构联合推出的AI生成内容检测工具

下载

if ($args ~* "<script.*>") {
    return 403;
}

该示例采用了Nginx内置的if模块，检测URL中是否有嵌套了script标签的内容。

五. 防CSRF攻击

在使用Nginx时，为了防止CSRF攻击，需要禁止外部站点的请求。例如，可以增加如下配置：

location / {
    if ($http_referer !~ "^https?://$host/") {
        return 403;
    }
}

该示例使用Nginx内置的if模块，限制只能接收$host站点发送的请求，如果来自其他站点的请求，Nginx会返回403。

六. 防文件下载漏洞

为了防止访问不正当的文件，如私人文档、脚本、配置文件等，请使用如下策略：

location ~* .(xls|doc|pdf)$ {
    valid_referers none blocked server_names;
    if ($invalid_referer) {
        return 401;
    }
}

该示例使用Nginx内置的valid_referers模块，当发现请求来自没有经过授权的站点时，会返回401。

七. 禁止一些URL访问

在实际项目中，有些URL可以被攻击者利用，例如admin.php、login.php等。我们可以直接禁止它们的访问。

location ~ /(admin|login).php {
    deny all;
}

该示例的配置，禁止了访问以admin.php和login.php为结尾的URL。

八. 完整示例

最后，根据以上的配置，我们可以得到以下的完整示例：

server {
    listen 80;
    server_name yourdomain.com;

    # 设置过滤规则
    location / {
        # 禁止非法请求
        limit_conn_zone $binary_remote_addr zone=one:10m;
        limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;

        # 防止XSS攻击
        if ($args ~* "<script.*>") {
            return 403;
        }

        # 防止SQL注入
        if ($args ~* "select.*from") {
            return 403;
        }

        # 禁止admin和login的访问
        location ~ /(admin|login).php {
            deny all;
        }
    }

    # 防止文件下载漏洞
    location ~* .(xls|doc|pdf)$ {
        valid_referers none blocked server_names;
        if ($invalid_referer) {
            return 401;
        }
    }
}

以上就是Nginx URL安全策略编写的指南。希望可以为你的Nginx配置提供一些帮助，提高系统的安全性。