Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: internal и allow/deny

To: nginx-ru@xxxxxxxxx
Subject: Re: internal и allow/deny
From: Igor Sysoev <is@xxxxxxxxxxxxx>
Date: Tue, 10 Feb 2009 18:02:26 +0300
In-reply-to: <49903ABB.8020307@xxxxxxxx>
References: <499018D7.6020608@xxxxxxxx> <20090209120059.GD12926@xxxxxxxxxxxxx> <49903ABB.8020307@xxxxxxxx>

On Mon, Feb 09, 2009 at 05:16:27PM +0300, Роман Маширов wrote:

>    Игорь, спасибо!
>    Правильно ли я понимаю, в таком случае можно ограничиться allow
>    127.0.0.1 deny all, без internal, если не нужно скрывать от посетителя
>    сам факт существования /block?

Нет, у подзапросов реальный адрес клиента, а не 127.0.0.1.

>    И еще, пользуясь случаем -- по поводу 304 not modified и
>    x-accel-redirect -- в итоге не существует способа отключить проверку
>    файла по if-modified-since?

Патч:

if_modified_since  off;

>    Igor Sysoev wrote:
> 
> On Mon, Feb 09, 2009 at 02:51:51PM +0300, Роман Маширов wrote:
> 
>   
> 
> Добрый день!
> 
> Есть location, из которого отдаются закешированные файлы в ssi. Если 
> файла нет, запрашиваем бэк:
> 
>        location /block {
>            root /.../cache_back;
> 
>            error_page   404  =  @fallback;
>            log_not_found off;
>        }
> 
> Далее, блоки показывать пришедшим снаружи не хочу, поэтому добавляю 
> internal. В результате все запросы снаружи на /block ломятся на бэк. 
> Поведение соответствует документации, но не здравому смыслу...
> 
>        location /block {
>            root /.../cache_back;
> 
>            error_page   404  =  @fallback;
>            internal;
>            log_not_found off;
>        }
> 
> Если запретить доступ для всех, кроме самого фронта:
> 
>        location /block {
>            root /.../cache_back;
> 
>            error_page   404  =  @fallback;
>            internal;
>            allow 127.0.0.1;
>            deny all;
>            log_not_found off;
>        }
> 
> Получаю еще более странную штуку -- запросы все равно ломятся на бэк. По 
> всей видимости internal имеет более высокий приоритет чем allow/deny? Я 
> что-то упустил, или internal в таком случае неприменим? Может логичнее 
> было бы отдавать 403 на internal а не 404?
>     
> 
> internal отрабатывает раньше allow/deny.
> 
> 403 говорит, что на сервере такой location существует, а 404 полностью
> скрывает от клиента существование location'а.
> 
> Решить проблему можно с помощью try_files:
> 
>      location /block {
>         internal;
>         try_files  $uri  @fallback;
>      }
> 
> 
>   

-- 
Игорь Сысоев
http://sysoev.ru

Index: src/http/ngx_http_core_module.c
===================================================================
--- src/http/ngx_http_core_module.c     (revision 1815)
+++ src/http/ngx_http_core_module.c     (working copy)
@@ -112,8 +112,9 @@
 
 
 static ngx_conf_enum_t  ngx_http_core_if_modified_since[] = {
-    { ngx_string("exact"), 0 },
-    { ngx_string("before"), 1 },
+    { ngx_string("off"), NGX_HTTP_IMS_OFF },
+    { ngx_string("exact"), NGX_HTTP_IMS_EXACT },
+    { ngx_string("before"), NGX_HTTP_IMS_BEFORE },
     { ngx_null_string, 0 }
 };
 
@@ -3052,7 +3053,7 @@
     ngx_conf_merge_uint_value(conf->satisfy, prev->satisfy,
                               NGX_HTTP_SATISFY_ALL);
     ngx_conf_merge_uint_value(conf->if_modified_since, prev->if_modified_since,
-                              0);
+                              NGX_HTTP_IMS_EXACT);
     ngx_conf_merge_value(conf->internal, prev->internal, 0);
     ngx_conf_merge_value(conf->client_body_in_file_only,
                               prev->client_body_in_file_only, 0);
Index: src/http/ngx_http_core_module.h
===================================================================
--- src/http/ngx_http_core_module.h     (revision 1815)
+++ src/http/ngx_http_core_module.h     (working copy)
@@ -28,6 +28,11 @@
 #define NGX_HTTP_SATISFY_ANY            1
 
 
+#define NGX_HTTP_IMS_OFF                0
+#define NGX_HTTP_IMS_EXACT              1
+#define NGX_HTTP_IMS_BEFORE             2
+
+
 typedef struct ngx_http_location_tree_node_s  ngx_http_location_tree_node_t;
 typedef struct ngx_http_core_loc_conf_s  ngx_http_core_loc_conf_t;
 
Index: src/http/modules/ngx_http_not_modified_filter_module.c
===================================================================
--- src/http/modules/ngx_http_not_modified_filter_module.c      (revision 1815)
+++ src/http/modules/ngx_http_not_modified_filter_module.c      (working copy)
@@ -61,6 +61,12 @@
         return ngx_http_next_header_filter(r);
     }
 
+    clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);
+
+    if (clcf->if_modified_since == NGX_HTTP_IMS_OFF) {
+        return ngx_http_next_header_filter(r);
+    }
+
     ims = ngx_http_parse_time(r->headers_in.if_modified_since->value.data,
                               r->headers_in.if_modified_since->value.len);
 
@@ -69,9 +75,7 @@
 
     if (ims != r->headers_out.last_modified_time) {
 
-        clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);
-
-        if (clcf->if_modified_since == 0
+        if (clcf->if_modified_since == NGX_HTTP_IMS_EXACT
             || ims < r->headers_out.last_modified_time)
         {
             return ngx_http_next_header_filter(r);

Follow-Ups:
- Re: internal и allow/deny
  - From: Роман Маширов

References:
- internal и allow/deny
  - From: Роман Маширов
- Re: internal и allow/deny
  - From: Igor Sysoev
- Re: internal и allow/deny
  - From: Роман Маширов

Prev by Date: Re: limit_conn per address or network
Next by Date: Re: Проблема при >1500 одновременных коннект ов.
Previous by thread: Re: internal и allow/deny
Next by thread: Re: internal и allow/deny
Index(es):
- Date
- Thread