client_max_body_size inside if
Ruslan Ermilov
ru на nginx.com
Вт Ноя 12 14:50:15 UTC 2019
On Mon, Nov 11, 2019 at 05:23:55PM +0300, Михаил Монашёв wrote:
> Здравствуйте.
>
> Оказалось, что client_max_body_size не работает внутри if-а .
>
> Хотел ограничивать размер GET- и POST-запросов, не ограничивая размер
> PUT-запросов, поступающих с доверенных ip. Конфиг планировался
> примерно такой:
>
> server {
> listen 80;
> server_name xxxxx;
>
> expires 1y;
>
> location / {
> root /xxxx/yyyyy;
>
> if ($request_method == PUT ) {
> client_max_body_size 0; # disable request size checks
> }
>
> client_body_temp_path /xxxx/webdav-tmp;
>
> dav_methods PUT DELETE MKCOL COPY MOVE;
> create_full_put_path on;
> dav_access user:rw group:rw all:r;
>
> limit_except GET {
> allow 127.0.0.0/8;
> allow 10.0.0.0/8;
>
> deny all;
> }
> }
> }
>
> Добавить NGX_HTTP_LIF_CONF в ngx_http_core_module.c не проблема. Но
> если есть возможность менять client_max_body_size внутри if-ов в самом
> nginx-е, было бы здорово. Если против этого, конечно же, нет никаких
> возражений.
Всё не так просто.
Сейчас для обычного (не-chunked) тела запроса проверка на данное ограничение
встроена в фазу FIND_CONFIG, обработчик которой вызывается при исходном выборе
location'а, а также каждый раз, когда location выбирается при помощи директивы
rewrite.
Можно передвинуть проверку на ограничение в фазу POST_REWRITE. От этого
становится чуть лучше, и client_max_body_size начинает работать внутри "if"
(добавления только NGX_HTTP_LIF_CONF недостаточно), но ограничение всё равно
будет проверяться по числу выборов новых location'ов, и в целом идея работать
не будет, т.к. фактически будет срабатывать наименьшее из ограничений:
location /1 {
client_max_body_size 8;
rewrite /1 /2;
}
location /2 {
client_max_body_size 9;
rewrite /2 /3;
}
location /3 {
client_max_body_size 10;
}
}
Кроме того, фазы POST_REWRITE может и не быть, так что туда нельзя.
Аналогично, не подходит и фаза POST_ACCESS (её также может не быть).
Остаётся убрать это в CONTENT-фазу, но насколько это хорошее изменение,
я пока не до конца понимаю.
Proof of concept патч:
# HG changeset patch
# User Ruslan Ermilov <ru на nginx.com>
# Date 1573570198 -10800
# Tue Nov 12 17:49:58 2019 +0300
# Node ID f50e2acbb576cbd699307a647da3e4ec2dbe5b48
# Parent 1ab95c51955e9c9fc9954b4d43d287c87a97fe0e
Enabled client_max_body_size inside "if".
diff --git a/src/http/ngx_http_core_module.c b/src/http/ngx_http_core_module.c
--- a/src/http/ngx_http_core_module.c
+++ b/src/http/ngx_http_core_module.c
@@ -343,7 +343,8 @@ static ngx_command_t ngx_http_core_comm
NULL },
{ ngx_string("client_max_body_size"),
- NGX_HTTP_MAIN_CONF|NGX_HTTP_SRV_CONF|NGX_HTTP_LOC_CONF|NGX_CONF_TAKE1,
+ NGX_HTTP_MAIN_CONF|NGX_HTTP_SRV_CONF|NGX_HTTP_LOC_CONF|NGX_HTTP_LIF_CONF
+ |NGX_CONF_TAKE1,
ngx_conf_set_off_slot,
NGX_HTTP_LOC_CONF_OFFSET,
offsetof(ngx_http_core_loc_conf_t, client_max_body_size),
@@ -961,25 +962,6 @@ ngx_http_core_find_config_phase(ngx_http
ngx_http_update_location_config(r);
- ngx_log_debug2(NGX_LOG_DEBUG_HTTP, r->connection->log, 0,
- "http cl:%O max:%O",
- r->headers_in.content_length_n, clcf->client_max_body_size);
-
- if (r->headers_in.content_length_n != -1
- && !r->discard_body
- && clcf->client_max_body_size
- && clcf->client_max_body_size < r->headers_in.content_length_n)
- {
- ngx_log_error(NGX_LOG_ERR, r->connection->log, 0,
- "client intended to send too large body: %O bytes",
- r->headers_in.content_length_n);
-
- r->expect_tested = 1;
- (void) ngx_http_discard_request_body(r);
- ngx_http_finalize_request(r, NGX_HTTP_REQUEST_ENTITY_TOO_LARGE);
- return NGX_OK;
- }
-
if (rc == NGX_DONE) {
ngx_http_clear_location(r);
@@ -1160,9 +1142,31 @@ ngx_int_t
ngx_http_core_content_phase(ngx_http_request_t *r,
ngx_http_phase_handler_t *ph)
{
- size_t root;
- ngx_int_t rc;
- ngx_str_t path;
+ size_t root;
+ ngx_int_t rc;
+ ngx_str_t path;
+ ngx_http_core_loc_conf_t *clcf;
+
+ clcf = ngx_http_get_module_loc_conf(r, ngx_http_core_module);
+
+ ngx_log_debug2(NGX_LOG_DEBUG_HTTP, r->connection->log, 0,
+ "http cl:%O max:%O",
+ r->headers_in.content_length_n, clcf->client_max_body_size);
+
+ if (r->headers_in.content_length_n != -1
+ && !r->discard_body
+ && clcf->client_max_body_size
+ && clcf->client_max_body_size < r->headers_in.content_length_n)
+ {
+ ngx_log_error(NGX_LOG_ERR, r->connection->log, 0,
+ "client intended to send too large body: %O bytes",
+ r->headers_in.content_length_n);
+
+ r->expect_tested = 1;
+ (void) ngx_http_discard_request_body(r);
+ ngx_http_finalize_request(r, NGX_HTTP_REQUEST_ENTITY_TOO_LARGE);
+ return NGX_OK;
+ }
if (r->content_handler) {
r->write_event_handler = ngx_http_request_empty_handler;
Подробная информация о списке рассылки nginx-ru