ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Как запретить отдачу фа йлов из location?


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Как запретить отдачу фа йлов из location?
  • From: Max Ivanov <ivanov.maxim@xxxxxxxxx>
  • Date: Wed, 19 Jan 2011 19:01:52 +0000
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:mime-version:in-reply-to:references:from:date :message-id:subject:to:content-type:content-transfer-encoding; bh=z7ds181Lpxv87ideaeLbO3DKbpfflFrSlge+cYH+Cik=; b=o/yNNWUW7/1qY8oZCrQAXbr+mpllSyzN5r/nJuiJSEBAum5pCmb2bWPEFV7XkABLRv +dKUd4kykjT4Cvk5qbnHZSsuzGsJ/h9jP5kQv3n3h1siL3IJw/rtncuGuaxFRvBY4h2+ UFSfW0yCbzPCTzky/NJIGFkVb7cZvjQOJRFBM=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=mime-version:in-reply-to:references:from:date:message-id:subject:to :content-type:content-transfer-encoding; b=lH5AuZ7m32Gfb8vHurLylhAN/XD8tZjD8Ub3GVaCt7aGRFKZ9dgFF0NrCEqJz1wAyg Cb8w0O+xygIiZXe1ug+5t1biaKhsTjFjo/LFVAllYKcQhUc6q7/tE7F4B9nG6hJ1ri8v v4x0FFgYMvGoRiqYZ7z5/IdU1wkBr2HQ5v1II=
  • In-reply-to: <20110119180826.GO86851@xxxxxxxxxx>
  • References: <AANLkTik5BDpp0_4TGKEDtqE-3Be1yAc_hX8qyW6Uhanh@xxxxxxxxxxxxxx> <20110119180826.GO86851@xxxxxxxxxx>

> Тут только через if, т.е. как-то так:
>
>    location / {
>        if (-f $request_filename) {
>            return 403;
>        }
>
>        ... pass to drupal here ...
>    }

Вот-вот :) Похожим образом изначально и было:
if (!-e $request_filename) {
  rewrite ^/(.*)$ /index.php?q=$1;
}

От чего всюду настоятельно рекомендуется отказываться. try_files
выглядят красиво но позволяют качать чего попало, а потом ограничивать
это регэкспами замучаешься.

Пришел вот к такому конфигу, для drupal,
позволяет иметь краткий whitelist файлов (туда занес картинки, сss и
скрипты что идут с модулями),
а также путь откуда можно качать все что угодно, не прописывая
расширения, при этом все иные существующие файлы будут возвращать 403
а несуществующие пути уходить на PHP:

server {
        server_name site1.domain.com;
        listen .....

        #Directory for logs must exist before you activate it
        access_log  /var/log/nginx/sites/site1/access.log detailed;
        error_log  /var/log/nginx/sites/site1/error.log info;

        root /data/sites/site1/htdocs/;

        #include settings/maintenance.conf;

        include settings/aux_loc.conf;

        location =/ {
                index index.php
        }

        location / {
              if (!-e $request_filename) {
                    rewrite ^/(.*)$ /index.php?q=$1;
              }
                return 403;
        }


        #drupal have limited ammount of php files which are called directly
        location = /index.php {
                include /etc/nginx/settings/fastcgi.conf;
                fastcgi_pass php_upstream1;
        }

        location = /update.php {
                auth_basic            "Restricted";
                auth_basic_user_file  deployment.htpasswd;
                include /etc/nginx/settings/fastcgi.conf;
                fastcgi_pass php_upstream1;
        }

        #Make ImageCache to work properly
        location /sites/all/files/imagecache/ {
                try_files $uri @drupal;
        }

        #Allow downloads of all files placed there by Drupal
        location /sites/all/files/ {
        }

        #Allow download files which usually comes with various modules
        location ~* \.(js|css|png|jpg|jpeg|gif|ico)$ {
        }
}

Буду рад конструктивной критике :)
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.