regex - 在 NGINX 反向代理设置中有效忽略 cookie 列表

Question

我目前正在 NGINX 反向代理设置中针对动态内容工作/测试微缓存功能。

发生的一个大问题是需要忽略的 session /cookie，否则人们将使用网站上的随机帐户登录。

目前我忽略了流行的 CMS cookie，如下所示:

if ($http_cookie ~* "(joomla_[a-zA-Z0-9_]+|userID|wordpress_(?!test_)[a-zA-Z0-9_]+|wp-postpass|wordpress_logged_in_[a-zA-Z0-9]+|comment_author_[a-zA-Z0-9_]+|woocommerce_cart_hash|woocommerce_items_in_cart|wp_woocommerce_session_[a-zA-Z0-9]+|sid_customer_|sid_admin_|PrestaShop-[a-zA-Z0-9]+") 
    {

# set ignore variable to 1
# later used in:
# proxy_no_cache                 $IGNORE_VARIABLE;
# proxy_cache_bypass             $IGNORE_VARIABLE;
# makes sense ?

    }

但是，如果我想将更多 cookie 添加到忽略列表中，这就会成为问题。更不用说根据文档，不建议在 NGINX 中使用太多“if”语句。

我的问题是，这是否可以使用 map 方法来完成？我看到 map 中的正则表达式是不同的(或者也许我错了)。

或者是否有另一种方法可以有效地忽略/绕过 cookie？

我在 stackoverflow 上搜索了很多，虽然有很多不同的例子；我找不到适合我需求的东西。

谢谢

更新:

在互联网上进行了大量的阅读和“挖掘”(我们不妨直接说谷歌)，我发现了一些有趣的例子。

但是我对这些感到非常困惑，因为我不完全理解正则表达式的用法，而且我害怕在不理解它的情况下实现它。

示例 1:

map $http_cookie $cache_uid {
  default nil;
  ~SESS[[:alnum:]]+=(?<session_id>[[:alnum:]]+) $session_id;
}

1. 在这个例子中，我可以注意到正则表达式与“if” block 中使用的那些。我不明白为什么这个模式开头不带任何“”，直接使用 ~ 符号。

2. 我不明白 [[:alnum:]]+ 是什么意思？我搜索这个 但我无法找到文档。 (或者也许我错过了)

3. 我可以看到作者将“nil”设置为默认值，这将 不适用于我的案例。

示例 2:

map $http_cookie $cache_uid {
  default  '';
  ~SESS[[:alnum:]]+=(?<session_id>[[:graph:]]+)  $session_id;
}

1. 与示例 1 中的点相同，但这次我可以看到[[:graph:]]+。那是什么？

我的示例(未测试):

map $http_cookie $bypass_cache {

    "~*wordpress_(?!test_)[a-zA-Z0-9_]+"  1;
    "~*wp-postpass|wordpress_logged_in_[a-zA-Z0-9]+"  1;
    "~*comment_author_[a-zA-Z0-9_]+"  1;
    "~*[a-zA-Z0-9]+_session)"  1;

    default      0;
}

在我的伪示例中，正则表达式一定是错误的，因为我没有找到任何具有此类正则表达式的 map cookie 示例。

因此，我的目标再次是拥有一个 map 样式的 cookie 列表，我可以通过正确的正则表达式绕过缓存。

非常感谢任何建议/示例。

Answer 1

你到底想做什么？

你这样做的方式，通过 if ($http_cookie … 尝试仅将某些 cookie 列入黑名单以防止缓存，是一种错误的方法 - 这意味着有一天，有人会发现一个未列入黑名单的 cookie，并且你的后端尽管如此，仍然会接受，并导致您缓存中毒或其他安全问题。

也没有理由使用 http://nginx.org/r/map 方法来获取各个 cookie 的值 - 所有这些都已经可以通过 http://nginx.org/r/$cookie_ 范例获得，使得用于解析 map 的 $http_cookie 代码变得相当多余和不必要。

是否有您真正想要缓存的 cookie？如果不是，为什么不直接使用 proxy_no_cache $http_cookie; 在存在任何 cookie 时禁止缓存？

<小时/>

您可能想要做的是首先确定必须缓存的内容以及在什么情况下必须缓存的内容，然后才采用诸如 nginx.conf 之类的编程语言来表达此类逻辑。

例如，更好的方法是查看哪些 URL 应始终被缓存，清除 Cookie header 以确保不可能出现缓存中毒 ( proxy_set_header Cookie ""; )。否则，如果存在任何 cookie，则可能根本不缓存任何内容 ( proxy_no_cache $http_cookie; )，或者构建缓存以便将身份验证凭据的某些组合用于 http://nginx.org/r/proxy_cache_key ；在这种情况下，通过基于白名单的方法手动重建 Cookie 请求 header 以避免缓存中毒问题也可能是有意义的。