介绍

Nginx是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的http://Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。 其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强。

以下的所有server块都是在nginx.conf文件内的http块内添加的,nginx.conf文件位于/usr/local/nginx/nginx.conf

案例一:直接部署静态资源

需求:将服务器下/www/hexo路径下的博客文件部署到公网上,并且用域名hikki.sitewww.hikki.site可以访问。

1
2
3
4
5
6
7
8
9
server {
listen 80; # 指定80端口访问
server_name hikki.site www.hikki.site; # 如果使用hikki.site和www.hikki.site则执行以下操作

location / {
root /www/hexo; # 指定该网站的根目录
index index.html index.htm; # 访问时默认打开index.html或index.htm文件
}
}

案例二:反向代理部署

需求:我的服务器上有一个Java项目,但Java项目需要使用tomcat,tomcat默认的端口是8080,我的Java项目放在/www/tomcat9/webapps/ROOT下,并且使用域名java.hikki.site域名访问该项目。

如果我们不使用指定的域名访问,我们一般是这样访问的:http://IP:8080,在IP地址后面加端口号,这时你还需要开放防火墙8080端口,将端口暴露出去。

但我们不想把这个端口暴露给别人看到怎么办?我们可以使用反向代理,指定一个三级域名java.hikki.site,这时可以关闭防火墙的8080端口了,当别人访问这个java.hikki.site域名时,这个域名自动指向IP:8080,这样就可以避免端口暴露出去。

1
2
3
4
5
6
7
server{
listen 80
server_name java.hikki.site;
location / {
proxy_pass http://127.0.0.1:8080;
}
}

案例三:加网站HTTPS

需求:给我的博客http://hikki.site加SSL,使网站更加安全,在案例一的基础上修改,首先需要申请SSL证书,如果你是在阿里云或者腾讯云购买的域名可以免费申请一年的SSL证书,如果你也没有申请到证书,那你也可以申请免费的SSL证书,可参考我另外的文章:https://blog.hikki.site/2e63f4a4.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
server {
listen 80;
server_name www.hikki.site hikki.site; # 表示访问到www.hikki.site或hikki.site都执行该 server块
return 301 https://$server_name$request_uri; #访问http时自动跳转到https
}

# 对SSL证书解析
server {
listen 443 ssl default;
listen [::]:443 ssl;
server_name www.hikki.site;
ssl_certificate cert/hikki.site/cert-hikki-site.pem; #证书存放相对路径
ssl_certificate_key cert/hikki.site/cert-hikki-site.key; #证书存放相对路径

ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;

location / {
root /www/hexo; #Web网站程序存放目录。
index index.html index.htm;
}
}

案例四:给网站添加防盗链

博客使用的是twikoo评论系统,使用docker部署的,怎么保证评论系统的安全呢?别人怎么获取不了这些数据呢?

我们可以给Nginx添加一些简单的防盗链,比如,设置该sever块,只有当请求头hikki.site时,才允许访问,或者是*.hikki.site才允许访问,当然,这只是简单的过滤一些,如果别人模拟请求头盗取你数据,那还是没办法。

我使用的twikoo部署在docker容器中,对外映射的是5050端口,那我指定三级域名twikoo.hikki.site,在用户访问blog.hikki.site网站时,blog.hikki.site向服务器发起请求,获取评论区的数据,此时,请求头带有blog.hikki.site信息,则被通过,允许请求访问数据。

如果我们是在本地测试hexo s,这时候,对服务器发起的请求是被拒绝的,因为请求头不是带有hikki.site或者是*.hikki.site

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# twikoo评论系统
server {
listen 80;
server_name twikoo.hikki.site;
return 301 https://$server_name$request_uri;
}
server {
listen 443 ssl;
server_name twikoo.hikki.site;

ssl_certificate cert/twikoo.hikki.site/cert.pem;
ssl_certificate_key cert/twikoo.hikki.site/key.pem;

valid_referers *.hikki.site;
if ($invalid_referer) {
return 403;
}
location / {
proxy_pass http://127.0.0.1:5050;
}
}

常见的Nginx状态码、响应码

状态码分类

分类 分类描述 分类详细说明
1** 信息 服务器收到请求,需要请求者继续执行操作
2** 成功 操作被成功接收并处理
3** 重定向 需要进一步的操作以完成请求
4** 客户端错误 请求包含语法错误或无法完成请求
5** 服务器错误 服务器在处理请求的过程中发生了错误

1开头状态码

状态码 状态码英文名称 描述
100 Continue 继续,客户端应继续请求
101 Switching Protocols 切换协议,服务器根据客户端的请求切换协议。只能切换到更高级的协议,例如,切换到HTTP的新版本协议

2开头状态码

状态码 状态码英文名称 描述
200 OK 请求成功,一般用于GET与POST请求
201 Created 已创建,成功请求创建了新的资源
202 Accepted 已接受,已经接受请求,但未处理完成
203 Non-Authoritative Information 非授权信息,请求成功,但返回的meta信息不在原始的服务器,而是一个副本
204 No Content 无内容,服务器成功处理,但未返回内容。在未更新的网页情况下,可确保浏览器继续显示当前文档
205 Reset Content 重置内容,服务器处理成功,用户终端(浏览器)应重置文档视图,可通过此返回码清除浏览器的表单域
206 Partial Content 部分内容,服务器成功处理了部分GET请求

3开头状态码

状态码 状态码英文名称 描述
300 Multiple Choices 多种选择,请求的资源可包括多个位置,相应可返回一个资源特征与地址的列表用于用户终端选择
301 Moved Permanently 永久跳转。请求的资源已被永久移动到新的URL,返回信息会包括新的URL,浏览器会自动定向到新URL,今后任何新的请求都应使用新的URL代替
302 Found 临时移动,与301类似,但资源只是临时被移动,客户端应继续使用原有的URL
303 See Other 查看其它地址,与301类似,使用GET和POST请求查看
304 Not Modified 未修改,所请求的资源未修改,服务器返回此状态码时,不会返回任何资源,客户端通常会缓存访问过的资源,通过提供一个头信息指出客户端希望只返回在指定日期之后修改的资源
305 Use Proxy 使用代理,所请求的资源必须通过代理访问
306 Unused 已经被废弃的HTTP状态码
307 Unused 临时重定向,与302类似,使用GET请求重定向

4开头状态码

状态码 状态码英文名称 描述
400 Bad Request 客户端请求的语法错误,服务器无法理解
401 Unauthorized 请求要求用户的身份认证
402 Payment Required 保留,将来使用
403 Forbidden 服务器拒绝执行此请求
404 Not Found 服务器无法根据客户端的请求找到资源(网页),通过此代码,网站设计人员可设置“你所请求的资源无法找到”的个性页面
405 Method Not Allowed 客户端请求中的访求被禁止
406 Not Acceptable 服务器无法根据客户端请求的内容性完成请求
407 Proxy Authentication Required 请求要求代理的身份证,与401类似,但请求者应当使用代理进行授权
408 Request Time-out 超时,服务器等待客户端发送的请求时间过长
409 Conflict 服务器完成客户端的PUT请求是可能返回此代码,服务器处理请求时发生了冲突
410 Gone 客户端请求的资源已经不存在。410不同于404,如果资源以前有现在被永久删除了可使用410代码,网站设计人员可通过301代码指定资源的新位置
411 Length Required 服务器无法处理客户端发送的不带Content-Length的请求信息
412 Precondition Failed 客户端请求信息的先决条件错误
413 Request Entity Too Large 由于请求的实体过大,服务器无法处理,因此拒绝请求。为防止客户端的连续请求,服务器可能会关闭连接。如果只是服务器暂时无法处理,则会包含一个Retry-After的响应信息 414 Request-URI Too Large 请求的URI过长(URI通常为网址),服务器无法处理
414 Request-URI Too Large 请求的URI过长(URI通常为网址),服务器无法处理
415 Unsupported Media Type 服务器无法处理请求附带的媒体格式
416 Requested range not satisfiable 客户端请求的范围无效
417 Expectation Failed 服务器无法满足Expect的请求头信息

5开头状态码

状态码 状态码英文名称 描述
500 Internal Server Error 服务器内部错误,无法完成请求
501 Not Implemented 服务器不支持请求的功能,无法完成请求
502 Bad Gateway 充当网关或代理的服务器,从远端服务器接收到了一个无效的请求
503 Service Unavailable 由于超载或系统维护,服务器暂时的无法处理客户端的请求。延时的长度可包含在服务器的Retry-After头信息中
504 Gateway Time-out 充当网关或代理的服务器,未及时从远端服务器获取请求
505 HTTP Version not supported 服务器不支持请求的HTTP协议的版本,无法完成处理