背景知识铺垫
一 nginx中与cookie相关
① Cookie请求头内容回顾
cookie的形式和属性
② nginx获取cookie值的两种方法
1) $http_cookie -->获取Cookie请求头"所有值"
2) $COOKIE_flag -->获取Cookie请求头的"某个key"
[1]、'脱敏'场景在'日志'中只记录'非敏感'的key
[2]、由于nginx会进行'lowcase',将所有的字符转化为'小写',推荐使用$COOKIE_lowercase形式
3) nginx也可通过'map'获取指定的cookie
4) 理解了'Cookie'请求头的构成,就理解了'方法二'的正则
③ nginx对Cookie请求头限制
常见: 响应头中的'Cookie'头大,导致'400'报错
client_header_buffer_size
相关参考
If the directive is specified on the server level,\
the value from the 'default server' can be used --> "如何理解"?
解读: 如果指令是在'server'级别指定,则仅server为'默认server'才使用'该指令'
off: 不忽略无效的'请求头',让其'透传'过去
除了下划线,nginx还可能丢弃哪些请求头
重点: nginx对ignore_invalid_headers'无效头'的判定
1) 就是'英文字母'、'数字'、'连字号'和'下划线'
2) 对'下划线'进行特殊处理,下划线可以通过'underscores_in_headers'控制
特殊场景: 需要'_下划线'、'.点 --> key为 a.b'
1) 如果'带invalid_header'且'打开ignore_invalid_headers on'配置,就会'输出日志'并忽略
2) error_log logs/error.log info;
3) error.log的'日志级别'有debug, info, notice, warn, error, crit, alert, emerg
4) 打开'error_log'的info日志,可以看到'告警'信息
client sent invalid header line: "xxxx" while reading client request headers
③ nginx对上游Set-Cookies响应头属性的处理
proxy_cookie_xxx指令的深入了解
+++++++++ "(1) 属性的处理" +++++++++
常见:'domain'、'path'、'secure'、'httponly'、'samesite'属性'修改'
涉及'3'个指令:
[1]、proxy_cookie_domain --> 默认是'off'
特点:通过Set-Cookies中的'domain属性'来判断,进行'pdomain'属性的修改
[2]、proxy_cookie_path --> 默认是'off'
特点:通过Set-Cookies中的'path属性'来判断,进行'path'属性的修改
思考:正则形式是'第一个'还是'所有的'匹配
特殊1:proxy_cookie_path / "/;secure" --> "可以附加其它属性",使用'不规范'
特殊2:proxy_cookie_path '非'正则时候应该是'前缀替换',而不是'中间替换'或'全局替换'
[3]、proxy_cookie_flags --> 默认是'off','1.19.3'版本引入
特点:通过Set-Cookies中的'key'来判断,进行'相关属性'的修改
注意:每个指令的'default值',以及'指令'哪个'版本'提供的
补充:只是'单向'对'上游响应头Set-Cookies'的处理
说明:两个'维度' --> 基于'cookie-av'进行'av'修改;基于'key'进行'av'修改
'多指令'附加'细节':
1) 由于可能包含多个'Set-Cookies'响应头,nginx也可能包含多个'属性指令',以及多个'相同'指令
2) 某一个'Set-Cookies'经过相同指令'cookie-av'属性的洗礼,第一个'属性指令'匹配即'停止'
3) 再继续经过其它'cookie-av'处理
注意: 一些高级属性与'nginx版本'的适配
相关属性见该博客
+++++++++ "(2) Set-Cookies响应头的处理" +++++++++
1) proxy_cache_valid '指令'
如果包括 'Set-Cookie' 响应头,该响应'不会'被缓存
2) proxy_ignore_headers
3) proxy_hide_header
思考: 哪些'响应头字符'是合法的
备注:'点'在ASCII中是46'2e',至少是'满足RFC规范'的
案例: 响应头'eg --> "Host "'带空格,nginx处理'报错'
④ nginx处理跨域请求Cookie
+++++++++++ "细节点" +++++++++++
1) 204 '状态码' --> add_header 'always'
HTTP 204状态码含义: 请求已经被处理,但无返回内容'No Content',这里指的是'response body'
'204'的三个应用场景:
[1]、跨域==> 204 --> add_header 'always'
[2]、PUT、DELET进行'资源'更新 --> '元数据更新'
[3]、OPTIONS预检请求,正确['204'],错误['412']
备注:Range相关的206和416状态码
204(No-Content),服务器成功处理了请求,但不需要返回任何实体内容
3) 了解'常见报错'
重点理解各种Access-Control-Allow响应头以及跨域的报错
Nginx通过Cookie做灰度就这么简单
默认proxy_set_header Host $proxy_host导致跨域Cookie丢失
nginx 反向代理及 Cookie 的四个问题
nginx 使用 proxy_cookie_path 解决反向代理 cookie 丢失导致无法登录等问题
⑤ Cookie在nginx的应用
思考:nginx利用cookie可以'做哪些操作'? --> 'map匹配'
场景:获取Cookie中的信息进行'限流'、'黑白'名单、'灰度'发布等
备注:后续'写一个专栏'
nginx发送一次请求的完整过程
⑥ Cookie浏览器使用的限制
1) 不同'厂商'的浏览器,并且相同厂商的'不同版本'的浏览器,对Cookie的使用'有差异'
备注: 涉及Cookie的'存储'和'使用'
2) 后续关注
[1]、'CSRF'的机制
[2]、Cookie丢失的原因 --> "抓包分析"
1) 是指请求'没有携带'预期的Cookie
2) 还是js读取不到后端返回的Set-Cookie
[3]、session共享方案 --> memcached、tomcat自身的、redis、spring的集成方案
理解lua指令
版权归原作者 wzj_110 所有, 如有侵权,请联系我们删除。