nginx

Symfony Symfony国外很流行的php框架，目前国内用的相对较少，但是一定会在国内火起来. nginx重写规则如下

Yii的Nginx rewrite如下为nginx yii的重写配置完了别忘了重启Nginx。 CakePHP的Nginx重写规则 依然简单粗暴，直接上代码例子，nginx重写规则如下

WordPresswordpress依然是目前是世界上最流行的博客系统，越来越多由wordpress搭建而成的网站在使用nginx服务器软件，这里就来分享一下WordPress的nginx重写规则：  

Nginx 实现AJAX跨域请求 AJAX从一个域请求另一个域会有跨域的问题。那么如何在nginx上实现ajax跨域请求呢？要在nginx上启用跨域请求，需要添加add_header Access-Control*指令。如下所示：

nginx-http-footer-filter想必大家都觉得很陌生,那我们就来认识一下它吧,这是淘宝开发的nginx模块. 它用于nginx在响应请求文件底部追加内容. 今天抽空研究下这个插件，希望对大家有所帮助。为什么发现了这个插件，因为这几天公司需要在所有shtml文件后面追加一个js代码用来做统计（之前统计代码没加齐全），在寻求解决方法的过程中找到了它认识了它最后喜欢上了它，你可能以为我用这个插件去实现了我要的功能，其实在认识他之前我用shell脚本替换齐全了. 不过我还是决定研究测试一下nginx-http-footer-filter，或许以后的需求上能有帮助,更或许能帮上其他需要帮助的人.进入正题吧. 1. nginx-http-footer-filter到底是做什么的？ 说白了，就是在请求的页面底部插入你要插入的代码。 2. 我们能用nginx-http-footer-filter来做什么？ 1、统一追加js代码用于统计(我是这么想的) 2、底部追加响应这个请求的realsver（后端真实服务器）信息,便于系统管理员排查故障. 3、你管理着数量庞大的虚拟主机，在所有web后面追加你的广告代码，黑链什么的（很无耻） 4、举一反三吧,自己想想能用来做什么吧. 淘宝用它来做什么？ 打开淘宝首页，查看他源代码，拖到最下面,内容如下：

ngx_http_headers_module模块 一. 前言 ngx_http_headers_module模块提供了两个重要的指令add_header和expires，来添加 “Expires” 和 “Cache-Control” 头字段，对响应头添加任何域字段。add_header可以用来标示请求访问到哪台服务器上，这个也可以通过nginx模块nginx-http-footer-filter研究使用来实现。expires指令用来对浏览器本地缓存的控制。 二. add_header指令 语法: add_header name value; 默认值: ― 配置段: http, server, location, if in location 对响应代码为200，201，204，206，301，302，303，304，或307的响应报文头字段添加任意域。如：

Node.js是一个基于Chrome JavaScript运行时建立的平台， 用于方便地搭建响应速度快、易于扩展的网络应用。Node.js 使用事件驱动， 非阻塞I/O 模型而得以轻量和高效，非常适合在分布式设备上运行的数据密集型的实时应用，如实时聊天等等。然而对于gzip编码，静态文件，HTTP缓存，SSL处理，负载平衡和反向代理等，都可以通过nginx来完成，从而减小node.js的负载，并通过nginx强大的缓存来节省网站的流量从而提高网站的加载速度。 流程图

nginx用户认证配置（ Basic HTTP authentication） ngx_http_auth_basic_module模块实现让访问着，只有输入正确的用户密码才允许访问web内容。web上的一些内容不想被其他人知道，但是又想让部分人看到。nginx的http auth模块以及Apache http auth都是很好的解决方案。 默认情况下nginx已经安装了ngx_http_auth_basic_module模块，如果不需要这个模块，可以加上 --without-http_auth_basic_module 。 nginx basic auth指令 语法:     auth_basic string | off; 默认值:     auth_basic off; 配置段:     http, server, location, limit_except 默认表示不开启认证，后面如果跟上字符，这些字符会在弹窗中显示。 语法:     auth_basic_user_file file; 默认值:     ― 配置段:     http, server, location, limit_except 用户密码文件，文件内容类似如下：

Nginx的SSL证书配置 1、使用openssl实现证书中心 由于是使用openssl架设私有证书中心，因此要保证以下字段在证书中心的证书、服务端证书、客户端证书中都相同

nginx可以为网站或目录甚至特定的文件设置密码认证。密码必须是crypt加密的。可以用apache的htpasswd来创建密码。

其实本人比较喜欢nginx跑静态和做负载反向代理，动态php还是交给apache处理比较稳定，jsp就交给tomcat、resin或jboss。nginx跑静态的能力是无与伦比的，是目前web服务器里最强的。nginx和apache、tomcat、resin的动静分离配置其实很简单，就几句配置，稳定性也非常好。

在使用nginx配置rewrite中经常会遇到有的地方用last并不能工作，换成break就可以，其中的原理是对于根目录的理解有所区别，按我的测试结果大致是这样的。

关于中文URL已经是老话题了，到目前为止依然有很大一部分SEOer都会说不要使用中文URL，对搜索引擎不友好。

nginx缓存cache的5种方案 　1、传统缓存之一（404） 　　这个办法是把nginx的404错误定向到后端，然后用proxy_store把后端返回的页面保存。 　　配置：

下载服务器时常被人盗链，时间久了导致服务器大量资源浪费，由于服务器使用nginx做为web服务器。nginx的防盗链方法有很多，可以使用现成的防盗链模块nginx-accesskey-2.0.3，编译ningx时添加此模块即可。 由于服务其他业务需要，所以nginx编译了lua模块，所以就想通过lua来实现下载服务器的防盗链功能(通过lua的Nginx模块lua_nginx_module、这里不再详细介绍配置过程），这样就可以免去了accesskey模块。原理就是生成经过处理过的下载链接，然后下载服务器在处理这个下载链接，成功则下载，失败则阻止。下面就是详细的配置实例： 一、在下载页面生成链接的nginx配置 download.jb51.net的配置：

http keepalive 在http早期 ，每个http请求都要求打开一个tpc socket连接，并且使用一次之后就断开这个tcp连接。使用keep-alive可以改善这种状态，即在一次TCP连接中可以持续发送多份数据而不会 断开连接。通过使用keep-alive机制，可以减少tcp连接建立次数，也意味着可以减少TIME_WAIT状态连接，以此提高性能和提高httpd 服务器的吞吐率(更少的tcp连接意味着更少的系统内核调用,socket的accept()和close()调用)。但是，keep-alive并不是 免费的午餐,长时间的tcp连接容易导致系统资源无效占用。配置不当的keep-alive，有时比重复利用连接带来的损失还更大。所以，正确地设置 keep-alive timeout时间非常重要。 keepalvie timeout Httpd守护进程，一般都提供了keep-alive timeout时间设置参数。比如nginx的keepalive_timeout，和Apache的KeepAliveTimeout。这个 keepalive_timout时间值意味着：一个http产生的tcp连接在传送完最后一个响应后，还需要hold住 keepalive_timeout秒后，才开始关闭这个连接。当httpd守护进程发送完一个响应后，理应马上主动关闭相应的tcp连接，设置 keepalive_timeout后，httpd守护进程会想说：”再等等吧，看看浏览器还有没有请求过来”，这一等，便是 keepalive_timeout时间。如果守护进程在这个等待的时间里，一直没有收到浏览发过来http请求，则关闭这个http连接。 我写了一个脚本，方便测试

nginx 的配置文件使用的就是一门微型的编程语言，许多真实世界里的 Nginx 配置文件其实就是一个一个的小程序。当然，是不是“图灵完全的”暂且不论，至少据我观察，它在设计上受 Perl 和 Bourne shell 这两种语言的影响很大。在这一点上，相比 Apache 和 Lighttpd 等其他 Web 服务器的配置记法，不能不说算是 Nginx 的一大特色了。既然是编程语言，一般也就少不了“变量”这种东西（当然，Haskell 这样奇怪的函数式语言除外了）。 熟悉 Perl、Bourne shell、C/C++ 等命令式编程语言的朋友肯定知道，变量说白了就是存放“值”的容器。而所谓“值”，在许多编程语言里，既可以是 3.14 这样的数值，也可以是 hello world 这样的字符串，甚至可以是像数组、哈希表这样的复杂数据结构。然而，在 Nginx 配置中，变量只能存放一种类型的值，因为也只存在一种类型的值，那就是字符串。 比如我们的 nginx.conf 文件中有下面这一行配置：

0x00 CC攻击的基本原理 　　CC攻击利用代理服务器向网站发送大量需要较长计算时间的URL请求，如数据库查询等，导致服务器进行大量计算而很快达到自身的处理能力而形成DOS。而攻击者一旦发送请求给代理后就主动断开连接，因代理并不因客户端这边连接的断开就不去连接目标服务器。因此攻击机的资源消耗相对很小，而从目标服务器看来，来自代理的请求都是合法的。 　　以前防CC攻击的方法 　　为了防范CC，以前的方法一个是限制每个IP的连接数，这在地址范围很广阔的情况下比较难实现;二是限制代理的访问，因为一般的代理都会在HTTP头中带 X_FORWARDED_FOR字段，但也有局限，有的代理的请求中是不带该字段的，另外有的客户端确实需要代理才能连接目标服务器，这种限制就会拒绝一些正常用户访问。 　　CC攻击用硬防难防住 　　CC攻击比DDOS攻击更可怕的就是，CC攻击一般是硬防很难防止住的。 　　个人分析原因有三： 　　一、因为CC攻击来的IP都是真实的，分散的; 　　二、CC攻击的数据包都是正常的数据包; 　　三、CC攻击的请求，全都是有效的请求，无法拒绝的请求。 　　防CC攻击思路 　　防CC有效性在于攻击方不接受服务器回应的数据，发送完请求后就主动断开连接，因此要确认连接是否是CC，服务器端不立即执行URL请求命令，而是简单的返回一个页面转向的回应，回应中包含新的URL请求地址。如果是正常访问，客户端会主动再次连接到转向页面，对用户来说是透明的;而对于CC攻击者，由于不接收回应数据，因此就不会重新连接，服务器也就不需要继续进行操作。

gzip(GNU- ZIP)是一种压缩技术。经过gzip压缩后页面大小可以变为原来的30%甚至更小，这样，用户浏览页面的时候速度会块得多。gzip的压缩页面需要浏览 器和服务器双方都支持，实际上就是服务器端压缩，传到浏览器后浏览器解压并解析。浏览器那里不需要我们担心，因为目前的巨大多数浏览器都支持解析gzip 过的页面。 Nginx的压缩输出有一组gzip压缩指令来实现。相关指令位于http{….}两个大括号之间。 下面大致讲一下配置开启gzip压缩的方法：

HTTPS就等于HTTP加上TLS（SSL)，HTTPS协议的目标主要有三个：    数据保密性。保证内容在传输过程中不会被第三方查看到。就像快递员传递包裹时都进行了封装，别人无法知道里面装了什么东西。     数据完整性。及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。     身份校验。保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方。