V2EX › NGINX
请教 nginx deny 优先级的问题。
ab ·
2024 年 8 月 30 日 · 2892 次点击
这是一个创建于 498 天前的主题,其中的信息可能已经有所发展或是发生改变。
http{
deny 192.168.6.8;
...
server {
listen 443 ssl;
http2 on;
server_name example.com;
...
if ($http_user_agent ~* "curl") {
return 406;
}
}
}
客户端 192.168.6.8 使用 curl -I example.com 时,返回 406 ,难道 if 比 http 段的 deny ip 的优先级还高吗?
9 条回复 • 2024年09月01日 12:33:48 +08:00
gesse
1
gesse 2024 年 8 月 30 日
```
http{
deny 192.168.6.8;
server {
listen 443 ssl;
http2 on;
server_name
example.com;
if ($http_user_agent ~* "curl") {
return 406;
}
}
}
```
- deny 指令 会拒绝访问并返回 403 状态码,但它不会停止后续配置的解析。
- if 语句 仍然会被执行,并可能修改或覆盖之前的响应状态。
R4rvZ6agNVWr56V0
2
R4rvZ6agNVWr56V0 2024 年 8 月 30 日
当客户端( 192.168.6.8 )发起请求时,首先检查的是 http 块中的 deny 指令。
如果 IP 地址被允许访问,则继续处理请求。
请求进入 server 块,在这里执行 if ($http_user_agent ~* "curl") 条件。这个条件是在请求处理过程中动态评估的,而不是在初始连接阶段。
因为 $http_user_agent 变量是基于实际请求头生成的,所以它可以覆盖之前的 deny 指令。
如果想完全阻止特定 IP 地址的访问,无论其 UA 如何,你可以考虑在 server 块中使用 if ($remote_addr = 192.168.6.8) 条件。
ab
4
ab 2024 年 8 月 30 日
@
GeekGao @
gesse 谢谢两位大佬,目前还是不能确定,文档翻了半天也没看到优先级的说明。chatgpt 和 gemini 则都是一口咬定 http 的 deny 优先,正常应该返回 403
gesse
7
gesse 2024 年 9 月 1 日
@
ladypxy 这个文章貌似是说 if 在 location 里的问题,OP 的设置并没有在 location 里。
ab
8
ab 2024 年 9 月 1 日
@
gesse 其实是一样的,一个 if 相当于一个 location