今天，我們將深入探討 Nginx 的 6 個(gè)關(guān)鍵進(jìn)階配置，這些細(xì)節(jié)在實(shí)際生產(chǎn)環(huán)境中至關(guān)重要，能顯著提升性能、安全性和靈活性。 主要配置項(xiàng)如下：

1. root 與 alias 指令的本質(zhì)區(qū)別

2. 反向代理 proxy_pass 高級(jí)配置剖析

3. try_files 的靈活應(yīng)用場(chǎng)景

4. 性能優(yōu)化gzip壓縮和表態(tài)資源緩存

5. Cookie 安全與行為控制

6. 安全加固方案

下面分別介紹每一項(xiàng)的配置及注意事項(xiàng)：

一、Nginx 中 root 與 alias 指令的區(qū)別

• root 指令

• 工作原理：root 指令會(huì)將完整的請(qǐng)求路徑附加到指定的目錄后

• 語(yǔ)法：root /path/to/directory;

• 示例：

location /images/ {    root /data/website;}

對(duì)于請(qǐng)求 /images/logo.png，Nginx 會(huì)查找 /data/website/images/logo.png

• alias 指令

• 工作原理：alias 指令會(huì)用指定的路徑替換 location 匹配的部分

• 語(yǔ)法：alias /path/to/directory;

• 示例：

location /images/ {    alias /data/website/;}

三、理解Nginx 中 try_files 指令

location / {  try_files $uri $uri/ /index.html;}

1. $uri - 嘗試直接匹配請(qǐng)求的URI對(duì)應(yīng)的文件

2. $uri/ - 嘗試將URI作為目錄查找

3. /index.html - 如果前兩者都不存在，則返回index.html

1. 只有一個(gè)實(shí)際的HTML文件(index.html)

2. 前端路由在客戶端處理

3. 直接訪問(wèn)路由路徑時(shí)服務(wù)器上沒(méi)有對(duì)應(yīng)文件

1. 啟用Gzip壓縮

gzip on;gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;

Gzip 壓縮的好處

• 顯著減少傳輸數(shù)據(jù)量

• 文本資源(HTML/CSS/JS)通?？蓧嚎s60-80%

• 示例：一個(gè)100KB的JS文件壓縮后可能只有30KB

• 加快頁(yè)面加載速度

• 減少帶寬占用，特別是對(duì)移動(dòng)用戶更有利

• 提升首次內(nèi)容渲染時(shí)間(FCP)

• 降低服務(wù)器帶寬成本

• 減少傳輸數(shù)據(jù)量直接降低帶寬消耗

• 改善用戶體驗(yàn)

• 頁(yè)面加載更快，減少用戶等待時(shí)間

• SEO優(yōu)勢(shì)

• 頁(yè)面加載速度是搜索引擎排名因素之一

2. 靜態(tài)資源緩存

location ~* \.(?:css|js|jpg|jpeg|gif|png|ico|cur|gz|svg|svgz|mp4|ogg|ogv|webm|htc)$ {  expires 1y;  access_log off;  add_header Cache-Control "public";}

緩存的好處

• 極大減少重復(fù)請(qǐng)求

• 靜態(tài)資源(如圖片/CSS/JS)只需下載一次

• 大幅提升后續(xù)訪問(wèn)速度

• 本地緩存讀取速度比網(wǎng)絡(luò)請(qǐng)求快100-1000倍

• 減輕服務(wù)器負(fù)載

• 減少對(duì)服務(wù)器的重復(fù)請(qǐng)求

• 離線可用性

• 緩存的資源在弱網(wǎng)環(huán)境下仍可訪問(wèn)

• 節(jié)省用戶流量

• 避免重復(fù)下載相同資源

server {    location / {        proxy_pass http://backend;
        # 安全傳遞Cookie        proxy_set_header Cookie $http_cookie;        proxy_pass_header Set-Cookie;
        # 修改后端Cookie屬性        proxy_cookie_domain ~^(.+)$ $host;        proxy_cookie_path / /;        proxy_cookie_flags ~ secure HttpOnly;
        # 動(dòng)態(tài)添加SameSite        header_filter_by_lua_block {            if ngx.header["Set-Cookie"] then                ngx.header["Set-Cookie"] = {                    ngx.header["Set-Cookie"] .. "; SameSite=Lax"                }            end        }    }}

• 隱藏版本號(hào)

server_tokens off;

• 限制敏感方法

if ($request_method !~ ^(GET|POST|HEAD)$) {    return 405;}

• 防DDoS基礎(chǔ)

limit_req_zone $binary_remote_addr zone=req_limit:10m rate=10r/s;location / {    limit_req zone=req_limit burst=20;}

1. limit_req_zone 定義限流規(guī)則

• $binary_remote_addr：以客戶端的IP地址作為限流鍵（比$remote_addr更節(jié)省內(nèi)存）。

• zone=req_limit:10m：創(chuàng)建名為 req_limit 的共享內(nèi)存區(qū)，分配10MB空間（約可存儲(chǔ)16萬(wàn)個(gè)IP狀態(tài)）。

• rate=10r/s：限制每個(gè)IP的平均請(qǐng)求速率為每秒10個(gè)請(qǐng)求。

2. limit_req 應(yīng)用限流規(guī)則

• zone=req_limit：引用之前定義的限流規(guī)則。

• burst=20：允許突發(fā)流量超出速率限制的請(qǐng)求數(shù)（超出部分會(huì)進(jìn)入隊(duì)列等待處理）。

• SSL 強(qiáng)化

ssl_protocols TLSv1.2 TLSv1.3;      #僅啟用 TLSv1.2 和 TLSv1.3，禁用不安全的舊協(xié)議（如 TLSv1.0、TLSv1.1 和 SSLv3）。ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';ssl_prefer_server_ciphers on;   # 確保使用服務(wù)端配置的更安全套件ssl_session_cache shared:SSL:10m; #啟用 SSL 會(huì)話緩存，減少重復(fù)握手開(kāi)銷。

閱讀原文：原文鏈接