如何根据请求 URI 最好地过滤流量?我想要做的是,some-script.php当仅提供特定参数列表时限制对脚本的访问。例如,允许每个人user_info使用相关user_id值进行访问,但拒绝每个人访问,action=admin_login除非他们的 IP 地址在 LAN 上。
我知道if这是邪恶的,并且allow all不会像下面显示的那样起作用,但我似乎找不到我想要做的事情。
location ~* /live/some-script\.php {
// allow "?action=user_info&user_id=[0-9]{1,6}"
if ($request_uri ~* "action=bwg_frontend_data" ) {
allow all;
}
// deny everyone access to "?action=admin_login", but allow 192.168.100.0/24
if ($request_uri ~* "?action=admin_login.*")
{
allow from 192.168.100.0/24;
}
return 403;
}
答案1
您尝试匹配的不是$request_uri,而是$query_string。
您的例子中的 $request_uri 是 /live/some-script.php ,而 $args 是 ? 之后的所有内容(解释起来很简单,可以简化这一点)。我将留下可以帮助您找到所需内容的链接,因为我的声誉不够,所以无法评论您的帖子。
为了匹配查询字符串:
https://gist.github.com/psd/3884613
还有另一种自定义错误的方法,但我不太喜欢它(如果你愿意的话你可以使用它,这是个人意见):
map $query_string $is_admin {
~ action=admin_login.* 1; # admin = 1
}
map $query_string $is_user {
~ action=bwg_frontend_data 1; #admin = 1
}
#default is empty, so it will not match the "if below".
然后在您的服务器代码中,使用 if 匹配 $is_admin 和 $is_user。
location ~* /live/some-script\.php {
// allow "?action=user_info&user_id=[0-9]{1,6}"
if ($is_user) {
allow all;
}
// deny everyone access to "?action=admin_login", but allow 192.168.100.0/24
if ($is_admin)
{
allow from 192.168.100.0/24;
deny_all; #deny anyone but the allowed ones = https://support.hypernode.com/knowledgebase/blocking-allowing-ip-addresses-in-nginx/
}
return 403;
}
我只是给你理论上的实现方法,因为我看不到你的整个配置,只要评论它是否正确,这样我就可以编辑它并根据你的需要进行调整。我希望这就是你想要的。
答案2
大家下午好。无论如何,您不仅需要过滤字段,还需要过滤表单、URL 链接等。我很久没有寻找类似的解决方案了,但出于其他目的,在互联网上找到了一篇文章,其中详细介绍了过滤功能。事实上,有一个 php 解决方案。这里https://cryptoxer.ru/forum/url-php-help/ 它说明了如何做,我不会重复这个多余的内容。您可以自己详细研究文章并获取一些对自己有用的东西。那里写了一个工作代码,请将其用于您的项目中。