Запрет обращения к файлу напрямую | Где ошибка?

Question

[Slash]

Добрый день.
Хочу запретить обращение напрямую к файлам, для одной папки "data". Делаю так:

location ~* $root_path/app/\d+/data/ {
		valid_referers none blocked site;
		if ($invalid_referer) {
			return 403;
		}
	}

Пробовал так:

location /data/ {
		valid_referers none blocked site;
		if ($invalid_referer) {
			return 403;
		}
	}

Но не то, ни другое, не работает... Подскажите, где ошибка? Нужен первый вариант, так как есть и другие папки, с схожим название, а их трогать не надо.
Спасибо.

Comments

[Михаил Р.]

Переменные точно все объявлены и имеют нужные значения?

[Slash]

Михаил Р., Вы про эту: "$invalid_referer"?
Не знаю... Как проверить?

Думаю, у меня нет "ngx_http_referer_module.so". Ищу.

[Михаил Р.]

Slash,

Вы про эту: "$invalid_referer"?

Про все, которые имеются в конфиге.

Не знаю... Как проверить?

Можно включить логгироварание:

location ~* ^/app/\d+/data/ {
    # ...
    error_log /var/log/nginx/debug.log debug;
    # ...
}

Затем, выполните nginx один раз и посмотрите, что записалось в /var/log/nginx/debug.log

[Slash]

Михаил Р., в логе только:

2025/01/07 10:42:32 [notice] 28271#28271: signal process started

[John Didact]

Slash, посмотри, что в переменных лежит. У меня было тоже как-то проблема какая-то, не помню уже, потом переменные проверил, оказалось, корень не тот был. Я не спец в nginx, поэтому переменные проверял записью в заголовок ответа сервера и смотрел это дело всё в браузере

Answer 1

[ky0]

Куча лишнего. Не нужен тут ни root_path, ни "none blocked". Хотите, чтобы запросы проходили только с определённых сайтов, оставьте в valid_referers только нужные домены. Если это те же домены, про которые конфиг - есть специальный аргумент server_names.

Comments

[Slash]

Правильно?

location ~* /app/\d+/data/ {
		valid_referers server_name;
		if ($invalid_referer) {
			return 403;
		}
	}

Но, видимо, я неправильно пишу... Тоже не работает.

[Lynn «Кофеман»]

Slash, server_names

https://nginx.org/ru/docs/http/ngx_http_referer_mo...

[Lynn «Кофеман»]

Slash, ну и приведите полный конфиг, а то сейчас окажется что запросы вообще в этот location не попадают.

[Slash]

Lynn «Кофеман», с server_names тоже не хочет...

server {
	server_name .....;
	charset UTF-8;
	index index.php;
	disable_symlinks if_not_owner from=$root_path;
	include /etc/nginx/vhosts-includes/*.conf;
	include /etc/nginx/vhosts-resources/...../*.conf;
	set $root_path /var/www/www-root/data/www/.....;
	root $root_path;
	gzip on;
	gzip_comp_level 3;
	gzip_disable "msie6";
	gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;
	error_log /var/www/httpd-logs/......error.log warn;

	location ~* ^.+\.(jpg|jpeg|gif|png|ico|css|js|svg|ttf)$ {
		expires 180d;
	}

	location / {
		rewrite ^([^.\?]*[^/])$ $1/ permanent; # Добавление слеша в конце URL, если его там нет
		try_files $uri /index.php?do=$uri;
		location ~ [^/]\.ph(p\d*|tml)$ {
			try_files /does_not_exists @php;
		}
	}

	# Удаление лишних слешев
	if ($request_uri ~ "//") {
		return 301 $uri;
	} # End: Удаление лишних слешев

	# Удаление "page_0" | "page_1" из URL
	location ~* ^(.*)/page_(0|1)/$ {
		return 301 $1/;
	} # End: Удаление "page_0" | "page_1" из URL

	location @php {
		fastcgi_index index.php;
		fastcgi_param PHP_ADMIN_VALUE "sendmail_path = /usr/sbin/sendmail -t -i -f danfa@.....";
		fastcgi_pass unix:/var/www/php-fpm/1.sock;
		fastcgi_split_path_info ^((?U).+\.ph(?:p\d*|tml))(/?.+)$;
		try_files $uri =404;
		include fastcgi_params;
		include /etc/nginx/vhosts-resources/...../dynamic/*.conf;
	}

	location ~* /app/\d+/data/ {
		valid_referers server_names;
		if ($invalid_referer) {
			return 403;
		}
	}

	error_page 404 $page_error;
	error_log /var/www/httpd-logs/.....error.log notice;
	return 301 https://$host:443$request_uri;
	access_log off;
	listen ......;
	listen .....;
}
server {
	server_name .....;
	ssl_certificate "/var/www/httpd-cert/www-root/......_le2.crtca";
	ssl_certificate_key "/var/www/httpd-cert/www-root/......._le2.key";
	ssl_ciphers EECDH:+AES256:-3DES:RSA+AES:!NULL:!RC4;
	ssl_prefer_server_ciphers on;
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
	add_header Strict-Transport-Security "max-age=31536000;";
	ssl_dhparam /etc/ssl/certs/dhparam4096.pem;
	charset UTF-8;
	index index.php;
	disable_symlinks if_not_owner from=$root_path;
	include /etc/nginx/vhosts-includes/*.conf;
	include /etc/nginx/vhosts-resources/...../*.conf;
	error_log /var/www/httpd-logs/......error.log notice;
	set $root_path /var/www/www-root/data/www/.....;
	root $root_path;
	gzip on;
	gzip_comp_level 3;
	gzip_disable "msie6";
	gzip_types text/plain text/css application/json application/x-javascript text/xml application/xml application/xml+rss text/javascript application/javascript image/svg+xml;

	location ~* ^.+\.(jpg|jpeg|gif|png|ico|css|js|svg|ttf)$ {
		expires 180d;
	}

	location / {
		rewrite ^([^.\?]*[^/])$ $1/ permanent; # Добавление слеша в конце URL, если его там нет
		try_files $uri /index.php?do=$uri;
		location ~ [^/]\.ph(p\d*|tml)$ {
			try_files /does_not_exists @php;
		}
	}

	# Удаление лишних слешев
	if ($request_uri ~ "//") {
		return 301 $uri;
	} # End: Удаление лишних слешев

	# Удаление "page_0" | "page_1" из URL
	location ~* ^(.*)/page_(0|1)/$ {
		return 301 $1/;
	} # End: Удаление "page_0" | "page_1" из URL

	location @php {
		fastcgi_index index.php;
		fastcgi_param PHP_ADMIN_VALUE "sendmail_path = /usr/sbin/sendmail -t -i -f .....";
		fastcgi_pass unix:/var/www/php-fpm/1.sock;
		fastcgi_split_path_info ^((?U).+\.ph(?:p\d*|tml))(/?.+)$;
		try_files $uri =404;
		include fastcgi_params;
		include /etc/nginx/vhosts-resources/...../dynamic/*.conf;
	}

	location ~* /app/\d+/data/ {
		valid_referers server_names;
		if ($invalid_referer) {
			return 403;
		}
	}

	error_page 404 $page_error;
	access_log off;
	listen ..... ssl http2;
	listen ..... ssl http2;
}

[Lynn «Кофеман»]

Slash, а примеры запросов?

[Slash]

Lynn «Кофеман», конечно, пожалуйста: https://danfa.net/app/2/data/taskTotal.php

[Lynn «Кофеман»]

Ну и, в чём проявляется «не работает»?

Хотя я вижу что запрос за .php всегда будет исполняться в location ~ [^/]\.ph(p\d*|tml)$

[Slash]

Lynn «Кофеман», действительно, дело было в формате .php. Изменил файлы на .txt и всё!
Вместо 403 ошибки поставил 404:

location ~* /app/\d+/data/ {
		valid_referers server_names;
		if ($invalid_referer) {
			return 404;
		}
	}

Надеюсь, номер ошибки тут можно менять?

Lynn «Кофеман», спасибо за помощь! Ваш ответ решение.

[ky0]

Slash, не за что. Привели бы в вопросе полный конфиг - разобрались бы значительно быстрее.

[Slash]

ky0, теперь буду знать, как задавать вопрос.