请教 nginx deny 优先级的问题。

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› NGINX

› NGINX Trac

› 3rd Party Modules

› Security Advisories

› CHANGES

› OpenResty

› ngx_lua

› Tengine

在线学习资源

› NGINX 开发从入门到精通

NGINX Modules

› ngx_echo

这是一个创建于 70 天前的主题，其中的信息可能已经有所发展或是发生改变。

http{ deny 192.168.6.8; ... server { listen 443 ssl; http2 on; server_name example.com; ... if ($http_user_agent ~* "curl") { return 406; } } } 客户端 192.168.6.8 使用 curl -I example.com 时，返回 406 ，难道 if 比 http 段的 deny ip 的优先级还高吗？

9 条回复 • 2024-09-01 12:33:48 +08:00

gesse

70 天前

```
http{
deny 192.168.6.8;
server {
listen 443 ssl;
http2 on;
server_name example.com;
if ($http_user_agent ~* "curl") {
return 406;
}
}
}
```
- deny 指令会拒绝访问并返回 403 状态码，但它不会停止后续配置的解析。
- if 语句仍然会被执行，并可能修改或覆盖之前的响应状态。

GeekGao

70 天前

当客户端（ 192.168.6.8 ）发起请求时，首先检查的是 http 块中的 deny 指令。
如果 IP 地址被允许访问，则继续处理请求。
请求进入 server 块，在这里执行 if ($http_user_agent ~* "curl") 条件。这个条件是在请求处理过程中动态评估的，而不是在初始连接阶段。
因为 $http_user_agent 变量是基于实际请求头生成的，所以它可以覆盖之前的 deny 指令。

如果想完全阻止特定 IP 地址的访问，无论其 UA 如何，你可以考虑在 server 块中使用 if ($remote_addr = 192.168.6.8) 条件。

GeekGao

70 天前

所以，盲猜应该是 if 指令优先级的问题