Как правильно прописать блокировку GET на nginx?

Question

[ironheaddd]

Сейчас сижу на CF, есть правила WAF
Вот они же текстом:

(http.request.uri.path eq "/" and http.request.full_uri contains "?" and not http.request.uri.query contains "preview" and not http.request.uri.query contains "mvc" and not http.request.uri.query contains "utm_source")

Теперь вопрос: как корректно прописать эти правила в nginx, чтобы отключить их на CF?
Пробовал вариант с:

location ~ /\? {
		deny all;
	}
	location ~ /\?preview {
		allow all;
	}
	location ~ /\?mvc {
		allow all;
	}
	location ~ /\?utm_source {
		allow all;
	}

но не прокатило.

PS разместил вышеуказанные локейшены в самом начале блока server

Comments

[Lynn «Кофеман»]

В location нет get-параметров. Это то самое место где приходится использовать if-ы.

Но на самом деле нифига не понятна цель этого мероприятия. Попробуйте русским языком описать что и зачем вы хотите сделать.

[ironheaddd]

Lynn «Кофеман», нужно заблокировать все запросы по location /?, но разрешить запросы по location /?(preview | mvc | utm_source)

[Lynn «Кофеман»]

Довольно дурацкая затея.

А, например, /?wtf=1&preview=123 можно?

[ironheaddd]

Lynn «Кофеман», все, что начинается с /? должно улетать в deny, кроме указанных выше трех запросов

Answer 1

[dodo512]

if ($request_uri ~ "^/\?(?!preview|mvc|utm_source)") {
    return 403;
}

Comments

[ironheaddd]

да, это то, что мне было нужно, спасибо
/? отдает 403
/?(preview | mvc | utm_source) отдают 200

[Valentin Barbolin]

ironheaddd, Не надо использовать if, на высоких нагрузках он дает солиднуб просадку по производительности. У тебя просто очередность не правильная, запрещающее правило должно быть внизу.

Answer 2

[Dimonchik]

в

location ~ /\? {
deny all;
}

входят все нижестоящие, т.е. он срабатывает не доходя до

Comments

[Lynn «Кофеман»]

А на самом деле не входит ни один потому что получить вопросительный знак в $uri нужно очень постараться.