文档章节

nginx和Tomcat配合使用时nginx.conf中配置不允许访问WEB-INF的方法

zchuanzhao
 zchuanzhao
发布于 2016/07/15 14:56
字数 510
阅读 66
收藏 1

nginx和Tomcat配合使用时nginx.conf 配置中有个漏洞,那就是没有配置哪些目录是不允许直接访问的,在传统tomcat作为服务器的时候,tomcat本身的机制就禁止直接访问WEB-INF下的内容,但是在nginx中,由于配置了部分内容直接从nginx转发出去,这就导致了WEB-INF目录实际上可能会被暴露出去,一旦暴漏了,那么系统架构,源代码,数据库配置文件,系统配置文件等内容将一并泄露,这对于商业项目来讲会是致命的安全隐患,再次提醒自己以及相关人士,一定要配置不允许访问的目录。
 
为此,必须在nginx.conf中配置上不允许访问的网站目录。
 
不允许访问配置方式如下:
 
     

location ~ ^/(WEB-INF|META-INF)/* {
   deny all;
}


 
 
一个完整的nginx.conf例子:
 

user root;  
worker_processes  1;  
  
#error_log  logs/error.log;  
#error_log  logs/error.log  notice;  
#error_log  logs/error.log  info;  
  
#pid        logs/nginx.pid;  
  
  
events {  
    worker_connections  10240;  
}  
  
  
http {  
    include       mime.types;  
    default_type  application/octet-stream;  
  
    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '  
    #                  '$status $body_bytes_sent "$http_referer" '  
    #                  '"$http_user_agent" "$http_x_forwarded_for"';  
  
    #access_log  logs/access.log  main;  
  
    sendfile        on;  
    #tcp_nopush     on;  
  
    #keepalive_timeout  0;  
    keepalive_timeout  65;  
  
    gzip  on;  
    gzip_min_length 1k;  
    gzip_buffers 16 64k;  
    gzip_http_version 1.1;  
    gzip_comp_level 2;  
    gzip_types application/json text/plain text/css;  
    gzip_vary on;  
  
    fastcgi_intercept_errors on;  
  
    upstream tomcat_server {  
       server   127.0.0.1:8080;  
#      server   127.0.0.1:8081;  
#      server   127.0.0.1:8082;  
    }  
  
  
############################  
########   server start ####  
############################  
    server {  
        listen       80;  
        server_name  www.xxx.com;  
        root    /data/www/www.xxx.com;  
  
        location /{  
            index index.htm index.html index.jsp;  
        }  
  
        location ~ ^/(WEB-INF|META-INF)/* {  
                deny all;  
        }  
  
        location ~ \.(jsp|do)?$ {  
            proxy_set_header Host  $host:80;  
            proxy_set_header X-Forwarded-For  $remote_addr;  
            proxy_pass http://tomcat_server;  
        }  
  
        location ~ .*\.(js|css|gif|jpg|jpeg|png|bmp|swf)$ {  
            expires 24h;  
        }  
  
        if (!-e $request_filename){  
                rewrite "^/a/eg/([0-9]+)/([0-9]+)/([0-9]+)$" /api/eventlog.do?game_id=$1&platform_id=$2&channel_id=$3 last;  
                rewrite "^/games/game_([0-9]+)\.html$" /games/game_show.jsp?id=$1 last;  
            rewrite "^/games/page_([0-9]+)\.html$" /games/index.jsp?p=$1 last;  
            rewrite "^/games/category_([0-9]+)\.html$" /games/index.jsp?c=$1 last;  
            rewrite "^/games/category_([0-9]+)/page_([0-9]+)\.html$" /games/index.jsp?c=$1&p=$2 last;  
            rewrite "^/blogs/blog_([0-9]+)\.html$" /blogs/blog_show.jsp?id=$1 last;  
            rewrite "^/blogs/page_([0-9]+)\.html$" /blogs/index.jsp?p=$1 last;  
            rewrite "^/blogs/category_([0-9]+)\.html$" /blogs/index.jsp?c=$1 last;  
            rewrite "^/blogs/category_([0-9]+)/page_([0-9]+)\.html$" /blogs/index.jsp?c=$1&p=$2 last;  
            rewrite "^/links/category_([0-9]+)\.html$" /links/index.jsp?c=$1 last;  
        }  
    }  
############################  
########   server end   ####  
############################  
}  

 

© 著作权归作者所有

共有 人打赏支持
zchuanzhao
粉丝 48
博文 237
码字总数 144603
作品 1
福州
程序员
tomcat配置及基于nginx、apache反向代理tomcat

如今,基于Web的应用越来越多,传统的Html已经满足不了如今的需求。我们需要一个交互式的Web,于是便诞生了各种Web语言。如Asp,Jsp,Php等。当然,这些语言与传统的语言有着密切的联系,如P...

上一段旅程
2014/05/11
0
0
disconf-web配置中心搭建

安装依赖软件 安装Mysql(Ver 14.12 Distrib 5.0.45, for unknown-linux-gnu (x8664) using EditLine wrapper) 安装Tomcat(apache-tomcat-7.0.50) 安装Nginx(nginx/1.5.3) 安装 zookee......

chaun
2016/03/09
257
0
深入浅出Nginx

前言 Nginx是一款轻量级的Web服务器、反向代理服务器,由于它的内存占用少,启动极快,高并发能力强,在互联网项目中广泛应用。 架构图 上图基本上说明了当下流行的技术架构,其中Nginx有点入...

张丰哲
2017/09/10
0
0
Linux 下 tomcat基于nginx做负载均衡

测试目的:在一台装有nginx服务器上访问nginx这台的ip地址,刷新一次就会显示后端三台不同的tomcat服务器的测试页。 测试环境:三台centos 6.8 一台 centos 7.3 软件版本: nginx 1.12.1 tom...

IT_luo
2017/08/28
0
0
Nginx反向代理,负载均衡+Tomcat实现Session共享

Nginx反向代理,负载均衡+Tomcat实现Session共享 防伪码:学而不思则罔,思而不学则殆。 作者:何小帅 博客URL:http://hexiaoshuai.blog.51cto.com 一、如何保持session会话 目前,为了使w...

何小帅
06/26
0
0

没有更多内容

加载失败,请刷新页面

加载更多

读书(附电子书)|小狗钱钱之白色的拉布拉多

关注公众号,在公众号中回复“小狗钱钱”可免费获得电子书。 一、背景 之前写了一篇文章 《小狗钱钱》 理财小白应该读的一本书,那时候我才看那本书,现在看了一大半了,发现这本书确实不错,...

tiankonguse
35分钟前
0
0
Permissions 0777 for ‘***’ are too open

异常显示: @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KEY FILE! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ ......

李玉长
37分钟前
0
0
区块链10年了,还未落地,它失败了吗?

导读 几乎每个人,甚至是对通证持怀疑态度的人,都对区块链的技术有积极的看法,因为它有可能改变世界。然而,区块链技术问世已经10年了,我们仍然没有真正的用上区块链技术。 几乎每个人,甚...

问题终结者
今天
2
0
20180921 su与sudo命令、限制root用户通过ssh远程登录

su 命令 用户切换。 su # 切换到root用户su username # 切换到username用户# su 后面加-时,会初始化当前用户的各种环境su - username # 指定用户执行某些命令 su - -c "touch /tm...

野雪球
今天
2
0
Windows 下双 Python 开发环境配置

Windows 下双 Python 开发环境配置作者:老农民(刘启华)QQ: 46715422Email: 46715422@qq.com微信: 46715422 本人曾经在 Windows 下被两个版本环境折腾够呛,现在总结两个 Python...

新疆老农民
昨天
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部