DreamMo的博客

在配置location提供web静态资源访问的时候特别注意，否则造成目录穿越访问，泄漏相关数据。原理就是， nginx拿到/file后面的路径，和root拼接，最后读取这个路径的文件内容(/var/www/html/../.env) 此时文件存在，则能访问到内容.精准匹配=或者~^优先级:1 > 正则~或者~*匹配 > 空修饰符(一般匹配，取URI匹配最长的) > / (任意通用匹配)此时再访问http://localhost/file../.env 将访问不到了.查看到.env文件的内容.

其实官方早就针对Nginx平滑升级做足了功夫，基本原理就是，启动新的Nginx(master+worker)进程，之后给旧的master进程发送-USER2指令，这样就能同时让新版和旧版本进程同时接收处理请求。之后我们再发送-WINCH给旧进程，让它停止工作服务(关闭所有旧worker进程，但是旧的master进程没关，防止后面你遇到问题回滚). 如果确认新Nginx没问题，那么再手动Kill旧的master进程即可完成平滑升级.请求2次，第一次负载到新的master,第二次负载到旧的master.

通过编写Kong插件来实现禁止国外IP访问

kong集群部署与promethues指标采集

由于nginx采用异步非阻塞io模型， 可以高效的处理并发请求,nginx还可以加入一些模块，其中就包括lua模块。 这个模块非常强悍和轻巧，犹如瑞士军刀，小巧精悍。nginx在做反向代理以及web服务器，是拿到http第一手源数据，那么我们可以在nginx这一块针对例如url转发，头信息过滤校验， referer校验， 反向代理拦截，安全校验，网关，认证等等。。。。通过加入lua模块，...