internal и allow/deny
Igor Sysoev
is at rambler-co.ru
Tue Feb 10 18:02:26 MSK 2009
On Mon, Feb 09, 2009 at 05:16:27PM +0300, Роман Маширов wrote:
> Игорь, спасибо!
> Правильно ли я понимаю, в таком случае можно ограничиться allow
> 127.0.0.1 deny all, без internal, если не нужно скрывать от посетителя
> сам факт существования /block?
Нет, у подзапросов реальный адрес клиента, а не 127.0.0.1.
> И еще, пользуясь случаем -- по поводу 304 not modified и
> x-accel-redirect -- в итоге не существует способа отключить проверку
> файла по if-modified-since?
Патч:
if_modified_since off;
> Igor Sysoev wrote:
>
> On Mon, Feb 09, 2009 at 02:51:51PM +0300, Роман Маширов wrote:
>
>
>
> Добрый день!
>
> Есть location, из которого отдаются закешированные файлы в ssi. Если
> файла нет, запрашиваем бэк:
>
> location /block {
> root /.../cache_back;
>
> error_page 404 = @fallback;
> log_not_found off;
> }
>
> Далее, блоки показывать пришедшим снаружи не хочу, поэтому добавляю
> internal. В результате все запросы снаружи на /block ломятся на бэк.
> Поведение соответствует документации, но не здравому смыслу...
>
> location /block {
> root /.../cache_back;
>
> error_page 404 = @fallback;
> internal;
> log_not_found off;
> }
>
> Если запретить доступ для всех, кроме самого фронта:
>
> location /block {
> root /.../cache_back;
>
> error_page 404 = @fallback;
> internal;
> allow 127.0.0.1;
> deny all;
> log_not_found off;
> }
>
> Получаю еще более странную штуку -- запросы все равно ломятся на бэк. По
> всей видимости internal имеет более высокий приоритет чем allow/deny? Я
> что-то упустил, или internal в таком случае неприменим? Может логичнее
> было бы отдавать 403 на internal а не 404?
>
>
> internal отрабатывает раньше allow/deny.
>
> 403 говорит, что на сервере такой location существует, а 404 полностью
> скрывает от клиента существование location'а.
>
> Решить проблему можно с помощью try_files:
>
> location /block {
> internal;
> try_files $uri @fallback;
> }
>
>
>
--
Игорь Сысоев
http://sysoev.ru
-------------- next part --------------
Index: src/http/ngx_http_core_module.c
===================================================================
--- src/http/ngx_http_core_module.c (revision 1815)
+++ src/http/ngx_http_core_module.c (working copy)
@@ -112,8 +112,9 @@
static ngx_conf_enum_t ngx_http_core_if_modified_since[] = {
- { ngx_string("exact"), 0 },
- { ngx_string("before"), 1 },
+ { ngx_string("off"), NGX_HTTP_IMS_OFF },
+ { ngx_string("exact"), NGX_HTTP_IMS_EXACT },
+ { ngx_string("before"), NGX_HTTP_IMS_BEFORE },
{ ngx_null_string, 0 }
};
@@ -3052,7 +3053,7 @@
ngx_conf_merge_uint_value(conf->satisfy, prev->satisfy,
NGX_HTTP_SATISFY_ALL);
ngx_conf_merge_uint_value(conf->if_modified_since, prev->if_modified_since,
- 0);
+ NGX_HTTP_IMS_EXACT);
ngx_conf_merge_value(conf->internal, prev->internal, 0);
ngx_conf_merge_value(conf->client_body_in_file_only,
prev->client_body_in_file_only, 0);
Index: src/http/ngx_http_core_module.h
===================================================================
--- src/http/ngx_http_core_module.h (revision 1815)
+++ src/http/ngx_http_core_module.h (working copy)
@@ -28,6 +28,11 @@
#define NGX_HTTP_SATISFY_ANY 1
+#define NGX_HTTP_IMS_OFF 0
+#define NGX_HTTP_IMS_EXACT 1
+#define NGX_HTTP_IMS_BEFORE 2
+
+
typedef struct ngx_http_location_tree_node_s ngx_http_location_tree_node_t;
typedef struct ngx_http_core_loc_conf_s ngx_http_core_loc_conf_t;
Index: src/http/modules/ngx_http_not_modified_filter_module.c
===================================================================
--- src/http/modules/ngx_http_not_modified_filter_module.c (revision 1815)
+++ src/http/modules/ngx_http_not_modified_filter_module.c (working copy)
@@ -61,6 +61,12 @@
return ngx_http_next_header_filter(r);
}
+ clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);
+
+ if (clcf->if_modified_since == NGX_HTTP_IMS_OFF) {
+ return ngx_http_next_header_filter(r);
+ }
+
ims = ngx_http_parse_time(r->headers_in.if_modified_since->value.data,
r->headers_in.if_modified_since->value.len);
@@ -69,9 +75,7 @@
if (ims != r->headers_out.last_modified_time) {
- clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);
-
- if (clcf->if_modified_since == 0
+ if (clcf->if_modified_since == NGX_HTTP_IMS_EXACT
|| ims < r->headers_out.last_modified_time)
{
return ngx_http_next_header_filter(r);
More information about the nginx-ru
mailing list