nginx + confd + etcd 实现nginx动态白名单,防止请求host篡改注入攻击

已于 2024-05-27 09:15:29 修改
阅读量768 收藏 5
点赞数 8
分类专栏: nginx配置 confd 文章标签: nginx etcd confd
于 2024-05-24 14:53:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24251323/article/details/139173824
版权

众所周知,浏览器发送到后台请求header中携带的host是可能被修改的,为了防止这件事情发生,就很有必要给后台设置host请求白名单了,本次将介绍nginx如何配置,以及结合confd和etcd实现动态配置。

1. http/https请求的host参数

http/https请求的请求头header部分会携带Host参数,一般默认位访问地址url的服务地址,如下图所示,但是这个host参数是很容易被篡改的,如使用post请求工具 postman 、apipost、postwoman等,所以很有必要针对Host篡改的问题做拦截。
在这里插入图片描述

2.nginx如何过滤掉被篡改的Host请求

其实配置很简单,只要在nginx的配置文件配置好host白名单,然后再配置好判断,不在白名单内的host禁止访问就好了,配置如下

# host 白名单
map $http_host $nms_white_host {
    default "";
    111.121.13.14 1;
    111.121.13.15 1;
}
# ... 其他配置省略
server {
	if ($nms_white_host = "") {
	     return 403;
	}
}

解释下,$http_host 是nginx的内置参数,值为http请求的header中的Host参数,$nms_white_host是自定义变量,代表 $http_host 与 map中参数进行匹配后的值,如果匹配到 111.121.13.14111.121.13.15 , 那么 $nms_white_host的值是1,如果没有匹配的Host值,则 $nms_white_host的值为空字符串;结合下面的if判断,即可实现不在白名单内的Host禁止访问的功能。

3. 结合confd + nginx 实现动态启用白名单,动态配置白名单列表

confd的使用介绍参考之前的博客:confd 0.20.0 监听etcd动态更新nginx配置文件
下面代码是实现方案:
首先获取通过 etcd 的key值 /whitelist赋给 自定义变量 $whitelist,如果etcd没有配置/whitelist的值,则$whitelist是空值,那么就不会走白名单过滤,也就是没有开启白名单校验。
如果开启了则会根据etcd配置的值 /whitelist 动态配置nginx,实现动态配置nginx的Host过滤白名单功能。
注意:下面是confd的模板配置文件,而不是nginx的直接配置文件

{{ $whitelist := getv "/whitelist" "" }}

{{ if ne $whitelist "" }}
map $http_host $nms_white_host {
    default "";
    {{ $whitelist }}
}
{{ end }}

# ... 其他配置省略
server {
	{{ if ne $whitelist "" }}
        if ($nms_white_host = "") {
              return 403;
        }
	{{ end }}
}
刘铁丝
关注
专栏目录
nginx + etcd 动态负载均衡实践(三)—— 基于nginx-upsync-module实现
gmHappy
04-06 2720
一、前言 各组件介绍及安装请转阅: nginx + etcd 动态负载均衡实践(一)—— 组件介绍 nginx + etcd 动态负载均衡实践(二)—— 组件安装 二、下载upsync 模块 mkdir -p /root/nginx-etcd-confd cd /root/nginx-etcd-confd git clone https://github.com/weibocom/nginx-upsync-module.git 三、编译安装nginx 下载: cd /root/nginx-etcd-con
nginx + etcd 动态负载均衡实践(四)—— 基于confd实现
gmHappy
04-06 3091
一、前言 各组件介绍及安装请转阅: nginx + etcd 动态负载均衡实践(一)—— 组件介绍 nginx + etcd 动态负载均衡实践(二)—— 组件安装 二、启动测试服务 测试服务基于docker启动 docker run -itd -p 8001:80 --name whoami1 traefik/whoami docker run -itd -p 8002:80 --name whoami2 traefik/whoami 访问实例1 访问实例2 三、配置nginx的配置资源 whoa
etcd+confd管理nginx
weixin_33913377的博客
04-18 151
1.安装 wget https://github.com/etcd-io/etcd/releases/download/v3.3.12/etcd-v3.3.12-linux-amd64.tar.gz tar zxvf etcd-v3.3.12-linux-amd64.tar.gz cd etcd-v3.3.12-linux-amd64 cp etcd etcdctl /usr/bin/ ...
nginx 白名单配置
jilangyu123的博客
08-24 606
1.在http中配置 #判断客户端地址是否在白名单列表,如果在返回0在白名单列表,否则返回1 geo $white { default 1; #include '/conf/ip.conf'; 127.0.0.1/32 0; 192.168.1.0/24 0; } #如果满足条件返回...
nginx 配置 白名单
qinheJ的博客
12-06 1万+
如果你的服务器被攻击很厉害,而且服务器是自己练手的,不需要其他用户访问的,那么就可以配置一下nginx白名单,规定有哪些ip可以访问你的服务器 配置如下: http模块: http { include mime.types; default_type application/octet-stream; #log_format main '$remot...
confd_nginx conf.d目录下的文件怎么配置?
weixin_34966374的博客
01-15 2090
展开全部(1)定义环境变量语法:env VAR|VAR=VALUE这个配置项可以让用户直接设置62616964757a686964616fe4b893e5b19e31333365633864操作系统上的环境变量。例如:1. env TESTPATH=/tmp/;(2)嵌入其他配置文件语法:include /path/file;include配置项可以将其他配置文件嵌入到当前的nginx.c...
Etcd+Confd 管理Nginx配置文件
叱咤少帅的博客
04-06 4252
背景 手写Nginx的upsteam麻烦并且容易出错,想通过类似Kong的Restfull的api形式操作upsteam节点。 架构图 etcd:分布式KV存储系统,一般用于共享配置和服务注册与发现。是CoreOS公司发起的一个开源项目。 ETCD存储格式类似于文件系统,以根"/"开始下面一级级目录,最后一个是Key,一个key对应一个Value。 etcd集群:使用Raft协议保证每个节点数据一致,由多个节点对外提供服务。这里只用单台。 confd:管理本地应用配置文件,使用etc.
nginx-confd-etcd:基于etcd和registrator为confd配置nginx的Docker容器
06-15
nginx-confd-etcd 集装箱配置基于由生成的值 。 主要用于集群。 我从开始,但我不喜欢 sidekick 实例的想法。 我将 sidekick 更改为 Registrator 并在 Confd 配置中进行了一些更改。 集群配置的先决条件 这个 ...
使用etcd+confd+nginx实现动态反向代理
uxff的专栏
05-31 3912
confd介绍 confd是一个轻量级的配置管理工具,源码地址:https://github.com/kelseyhightower/confd,它可以将配置信息存储在etcd、consul、dynamodb、redis以及zookeeper等。confd定期会从这些存储节点pull最新的配置,然后重新加载服务,完成配置文件的更新。 场景 现有应用服务a1,a2,a3,…提供http服务。 ...
nginx + etcd 动态负载均衡实践(一)—— 组件介绍
gmHappy
03-28 5364
一、概述 当系统变的复杂,配置项越来越多,一方面配置管理变得繁琐,另一方面配置修改后需要重新上线同样十分痛苦。这时候,需要有一套集中化配置管理系统,一方面提供统一的配置管理,另一方面提供配置变更的自动下发,及时生效。 说到统一配置管理系统,大家应该比较熟悉,常见的:zookeeper、etcd、consul、git、nacos等。 上述的集中配置中心使用的时候,部署图大致是这样的。 MyServer端只需要调用config-server获取对应配置,和监听配置变更就可以了,总体来说没有太大难度。 接下来要
confd-nginx:带有 confd 的简单 nginx 代理传递
06-05
带有 confd 的死简单 nginx 代理传递。 docker run -d --name nginx dockerinpractice/confd-nginx <etcd> 在/app/upstream/下添加您的 etcd 上游。
nginx-confd:通过 confd 配置的 NGINX 服务发现
06-03
nginx-confd 通过 confd 配置的 NGINX 服务发现 本地测试 您可以通过调整docker-compose.yml以匹配本地主机的配置,在本地机器上进行测试。 默认情况下,您需要有一个主机记录docker指向您的 docker 主机才能使其工作。 然后您可以将app服务扩展到您喜欢的任何数量。 $ docker-compose up -d $ docker-compose scale app=5 注意事项 目前etcd是唯一受支持的后端。
Nginx+Tomcat搭建负载均衡,实现网站请求的分发
11-11
Nginx+Tomcat搭建负载均衡,实现网站请求的分发 Nginx+Tomcat搭建负载均衡是实现网站请求的分发的常见解决方案。以下是该解决方案的详细知识点说明: 一、负载均衡的概念 负载均衡是指将网络请求分配到多个服务器...
nginx配置访问白名单
m0_63004677的博客
08-29 1万+
nginx配置访问白名单
confd基本使用--Nginx配置自动化
weixin_33829657的博客
11-24 1967
为什么80%的码农都做不了架构师?>>> ...
etcd nginx 容器_基于etcd+confd通过nginx对docker服务混合注册发现详解
weixin_39926943的博客
12-20 468
先简单说下业务逻辑,etcd是一个分部式k/v存储系统,confd是一个对etcd的key或者目录做变化监控的软件,并配有相关语法,可以将变化的k/v处理后形成配置文件,nginx不用多说了,做docker容器的负载均衡流量调度。在业务过程中,docker容器健康起来后,会通过接口向etcd注册相关k/v信息,confd检测到etcd的k/v变化后,立即触发程序通过模板形成新的nginx配置文件,...
增加nginx配置文件(conf.d), 管理多个项目
热门推荐
weixin_43652507的博客
04-12 1万+
增加nginx配置文件(conf.d), 管理多个项目
如何给Nginx配置访问IP白名单
最新发布
lxw1844912514的博客
09-26 1万+
如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CIDR格式,CIDR转IPv4网站:https://www.ipaddressguide.com/cidr。给的,将需要做301跳转的IP,直接写到/tmp/ip文件中,支持网段,一行一个,添加后不需要重启nginx,即时生效。不确定或者不能访问外网的话,就在nginx的报错日志里找,logs/error.log,能找到访问此nginx的IP。
confd+etcd+nginx 配置管理
ywmack
07-15 653
配置管理系统环境更换yum源安装NGINXconfd安装etcd3安装创建confd的模板文件etcd3创建key,vlaue执行confdV3 查看全部KEY` 系统环境 环境:centos7 etcd3 nginx1.14 confd 更换yum源 yum install vim wget net-tools -y mv /etc/yum.repos.d/CentOS-Base.repo /e...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值