Gzip 与反向代理缓存

Question

Garreth McDaid

Asked: 2019-11-13 06:29:56 +0800 CST2019-11-13 06:29:56 +0800 CST 2019-11-13 06:29:56 +0800 CST

使用 X-Accel-Redirect 时禁止 Nginx 403 访问

772

我在 Nginx 中遇到了安全问题，并且X-Accel-Redirect.

Nginx 服务器 777

location /api {
   allow 100.100.100.1;
   deny all;
   proxy_pass http://api-server;
}

#The api-sever will respond with an `X-Accel-Redirect` header to the following location `@server888`

location @server888 {
   internal;
   proxy_pass http://server888$request_uri;
}

Nginx Server 888具有相同的配置/api

location /api {
   allow 100.100.100.1;
   deny all;
   proxy_pass http://api-server;
}

但是，从源 ip100.100.100.1到Server 777的所有请求都从Server 777获得 403 响应，并出现错误：

access forbidden by rule while reading response header from upstream

从我所见，该@server888位置阻止了请求，但我的理解是该internal指令应该允许来自的请求X-Accel-Redirect，而不必allow为100.100.100.1.

这个对吗？或者我是否需要在该@server888位置授予更广泛的权限才能使其正常工作？

1 个回答

Voted

Garreth McDaid · Answer 1 · 2019-11-14T06:25:58+08:00

Best Answer

Garreth McDaid

2019-11-14T06:25:58+08:002019-11-14T06:25:58+08:00

因此，看起来自定义location（@server888）需要允许环回地址才能使其工作：

location @server888 {
   allow 127.0.0.1;
   internal;
   proxy_pass http://server888$request_uri;
}

我不确定这里的技术解释是什么。

通常，internal当请求由以下方式生成时，该指令应允许访问X-Accel-Redirect：

http://nginx.org/en/docs/http/ngx_http_core_module.html#internal

我在这里的猜测是，这仅适用于location本地，而不是上游的反向代理，或者此位置deny all;在配置的早期继承了更全局的。

0

使用 X-Accel-Redirect 时禁止 Nginx 403 访问

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

使用 X-Accel-Redirect 时禁止 Nginx 403 访问

1 个回答

相关问题