- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我目前正在 NGINX 反向代理设置中针对动态内容工作/测试微缓存功能。
发生的一个大问题是需要忽略的 session /cookie,否则人们将使用网站上的随机帐户登录。
目前我忽略了流行的 CMS cookie,如下所示:
if ($http_cookie ~* "(joomla_[a-zA-Z0-9_]+|userID|wordpress_(?!test_)[a-zA-Z0-9_]+|wp-postpass|wordpress_logged_in_[a-zA-Z0-9]+|comment_author_[a-zA-Z0-9_]+|woocommerce_cart_hash|woocommerce_items_in_cart|wp_woocommerce_session_[a-zA-Z0-9]+|sid_customer_|sid_admin_|PrestaShop-[a-zA-Z0-9]+")
{
# set ignore variable to 1
# later used in:
# proxy_no_cache $IGNORE_VARIABLE;
# proxy_cache_bypass $IGNORE_VARIABLE;
# makes sense ?
}
但是,如果我想将更多 cookie 添加到忽略列表中,这就会成为问题。更不用说根据文档,不建议在 NGINX 中使用太多“if”语句。
我的问题是,这是否可以使用 map 方法来完成?我看到 map 中的正则表达式是不同的(或者也许我错了)。
或者是否有另一种方法可以有效地忽略/绕过 cookie?
我在 stackoverflow 上搜索了很多,虽然有很多不同的例子;我找不到适合我需求的东西。
谢谢
更新:
在互联网上进行了大量的阅读和“挖掘”(我们不妨直接说谷歌),我发现了一些有趣的例子。
但是我对这些感到非常困惑,因为我不完全理解正则表达式的用法,而且我害怕在不理解它的情况下实现它。
示例 1:
map $http_cookie $cache_uid {
default nil;
~SESS[[:alnum:]]+=(?<session_id>[[:alnum:]]+) $session_id;
}
在这个例子中,我可以注意到正则表达式与“if” block 中使用的那些。我不明白为什么这个模式开头不带任何“”,直接使用 ~ 符号。
我不明白 [[:alnum:]]+ 是什么意思?我搜索这个 但我无法找到文档。 (或者也许我错过了)
我可以看到作者将“nil”设置为默认值,这将 不适用于我的案例。
示例 2:
map $http_cookie $cache_uid {
default '';
~SESS[[:alnum:]]+=(?<session_id>[[:graph:]]+) $session_id;
}
我的示例(未测试):
map $http_cookie $bypass_cache {
"~*wordpress_(?!test_)[a-zA-Z0-9_]+" 1;
"~*wp-postpass|wordpress_logged_in_[a-zA-Z0-9]+" 1;
"~*comment_author_[a-zA-Z0-9_]+" 1;
"~*[a-zA-Z0-9]+_session)" 1;
default 0;
}
在我的伪示例中,正则表达式一定是错误的,因为我没有找到任何具有此类正则表达式的 map cookie 示例。
因此,我的目标再次是拥有一个 map 样式的 cookie 列表,我可以通过正确的正则表达式绕过缓存。
非常感谢任何建议/示例。
最佳答案
你到底想做什么?
你这样做的方式,通过 if ($http_cookie …
尝试仅将某些 cookie 列入黑名单以防止缓存,是一种错误的方法 - 这意味着有一天,有人会发现一个未列入黑名单的 cookie,并且你的后端尽管如此,仍然会接受,并导致您缓存中毒或其他安全问题。
也没有理由使用 http://nginx.org/r/map 方法来获取各个 cookie 的值 - 所有这些都已经可以通过 http://nginx.org/r/$cookie_ 范例获得,使得用于解析 map
的 $http_cookie
代码变得相当多余和不必要。
是否有您真正想要缓存的 cookie?如果不是,为什么不直接使用 proxy_no_cache $http_cookie;
在存在任何 cookie 时禁止缓存?
您可能想要做的是首先确定必须缓存的内容以及在什么情况下必须缓存的内容,然后才采用诸如 nginx.conf
之类的编程语言来表达此类逻辑。
例如,更好的方法是查看哪些 URL 应始终被缓存,清除 Cookie
header 以确保不可能出现缓存中毒 ( proxy_set_header Cookie "";
)。否则,如果存在任何 cookie,则可能根本不缓存任何内容 ( proxy_no_cache $http_cookie;
),或者构建缓存以便将身份验证凭据的某些组合用于 http://nginx.org/r/proxy_cache_key ;在这种情况下,通过基于白名单的方法手动重建 Cookie
请求 header 以避免缓存中毒问题也可能是有意义的。
关于regex - 在 NGINX 反向代理设置中有效忽略 cookie 列表,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56985609/
在我的主要组件中,我有: mounted() { window.$cookie.set('cookie_name', userName, expiringTime); }, 这会产生以下错误:
我正在学习 cookie,并且我想知道在编写依赖 cookie 来存储状态的 Web 应用程序时浏览器的支持情况。 对于每个域/网站,可以向浏览器发送多少个 Cookie,大小是多少? 如果发送并存储
我已经为我的站点设置了一个 cdn,并将其用于 css、js 和图像。 网站只提供那些文件 我的问题是 firefox 中的页面速度插件对于我的图片请求,我看到了一个 cookie Cookie fc
在阅读了 Internet 上的文档和帖子后,我仍然无法解决 jMeter 中的 Cookie Manager 问题。 我在响应头中得到了 sid ID,但它没有存储在我的 cookie 管理器中。
我正在 Node.JS 中处理一些类似浏览器的 cookie 处理,想知道从 NodeJS and HTTP Client - Are cookies supported? 开始对这段代码进行扩展到什
我正在此堆栈上构建自托管 Web 服务器:欧文南希网络 API 2 我正在使用 Katana 的 Microsoft.Owin.Security.Cookies 进行类似表单的身份验证。我得到了 Se
我有一个从另一个网站加载资源的网站。我已经能够确定: 第三方网站在用户的浏览器上放置 cookie。 如果我在浏览器设置中禁用第三方 cookie,第三方网站将无法再在浏览器上放置 cookie。 该
关闭。这个问题是off-topic .它目前不接受答案。 想改善这个问题吗? Update the question所以它是 on-topic对于堆栈溢出。 9年前关闭。 Improve this q
我正在使用 python mechanize 制作登录脚本。我已经读到 Mechanize 的 Browser() 对象将自动处理 cookie 以供进一步请求。 我怎样才能使这个 cookie 持久
我正在尝试在 www.example.com 和 admin.other.example.com 之间共享 cookie 我已经能够使其与 other.example.com 一起使用,但是无法访问子
我设置了一个域为 .example.com 的 cookie .它适用于我网站上的每个一级子域,应该如此。 但是,它不适用于 n 级子域,即 sub.subdomain.example.com和 to
我想让用户尽可能长时间地登录。 我应该使用什么? 普通 cookies 持久性 cookie 快闪 cookies ip地址 session 或这些的某种组合? 最佳答案 我认为 Flash cook
如果给定的 Web 服务器只能读取其域内设置的 cookie,那么 Internet 广告商如何从其网络外的网站跟踪用户的 Web 流量? 是否存在某种“supercookie”全局广告系统,允许广告
我知道一个 cookie 可以容纳多少数据是有限制的,但是我们可以设置多少个 cookie 有限制吗? 最佳答案 来自 http://www.ietf.org/rfc/rfc2109.txt Prac
如果我拒绝创建 cookie,则在我的浏览器中创建名称为 __utma、__utmb 等的 cookie。我认为这个 cookie 是用于谷歌分析的。任何人都知道谷歌如何创建这个 cookie,即使浏
我有一个生产环境和一个登台环境。我想知道我是否可以在环境之间沙箱 cookie。我的设置看起来像 生产 domain.com - 前端 SPA api.domain.com - 后端节点 分期 sta
我想知道浏览器(即 Firefox )和网站的交互。 当我将用户名和密码提交到登录表单时,会发生什么? 我认为该网站向我发送了一些 cookie,并通过检查这些 cookie 来授权我。 cookie
我在两个不同的域中有两个网络应用程序 WebApp1 和 WebApp2。 我在 HttpResponse 的 WebApp1 中设置 cookie。 如何从 WebApp2 中的 HttpReque
我正在使用Dartium“Version 34.0.1847.0 aura(264987)”,并从Dart创建一个websocket。但是,如果不是httpOnly,我的安全 session cook
我从 Headfirst Javascript 书中获取了用于 cookie 的代码。但由于某种原因,它不适用于我的浏览器。我主要使用chrome和ff,并且我在chrome中启用了本地cookie。
我是一名优秀的程序员,十分优秀!