Nginx – Microholmes's Blog

Nginx – 五、实用代理之proxy_cookie_domain

Microholmes — Tue, 15 Dec 2020 14:51:34 +0000

在使用nginx进行反向代理不同域名站点时，cookie也需要进行替换，才能被写入到浏览器中。通常在代理一些身份认证的站点时需要，如sso(单点登录)。

如xyz.test.com的域名，代理192.168.1.100，如不处理的话，仍然会返回path=192.168.1.100的cookie，而此时的请求地址是https://xyz.test.com，cookie是无法写入的。

当使用proxy_cookie_domain进行转换后，会将cookie的path替换成xyz.test.com，此时就可以顺利写入cookie了。

server {
  listen       443 ssl;
  server_name  xyz.test.com;

  ssl_certificate      cert/_test_com.pem;
  ssl_certificate_key  cert/_test_com.key;

  location / {
    proxy_cookie_domain 192.168.1.100 xyz.test.com;
    proxy_pass http://192.168.1.100/;
  }
}

Nginx – 四、实用代理之sub_filter

Microholmes — Sat, 12 Dec 2020 15:18:39 +0000

sub_filter支持将返回内容（response body）中的内容进行替换。如返回内容中有跳转地址，比如一些302跳转不是直接通过请求头中的Location，而是由表单自动提交的form，可将返回内容先进行替换，如把http://192.168.1.100更换为https://xyz.test.com，这样就方便地修改代理的跳转地址，不用修改代码。

sub_filter 'http://192.168.1.100' 'https://xyz.test.com';

参考完整实例：

server {
  listen       443 ssl;
  server_name  xyz.test.com;
  ssl_certificate      cert/_test_com.pem;
  ssl_certificate_key  cert/_test_com.key;
  location / {
    proxy_redirect ~^http://192.168.1.100/(.*) https://xyz.test.com/$1;
    proxy_pass http://192.168.1.100/;
    sub_filter 'http://192.168.1.100' 'https://xyz.test.com';
    sub_filter_once off;
  }
}

sub_filter_once on | off。默认: on，只执行一次。sub_filter指令是执行一次，还是重复执行。

不生效处理办法

增加配置：

proxy_set_header Accept-Encoding "";

Nginx – 三、实用代理之proxy_redirect

Microholmes — Tue, 08 Dec 2020 13:49:50 +0000

proxy_redirect支持将返回头（response header）中的Location内容进行替换。请求头中的Location字段是302跳转的地址，浏览器会自动跳转到该字段配置的地址。

server {
  listen       443 ssl;
  server_name  xyz.test.com;

  ssl_certificate      cert/_test_com.pem;
  ssl_certificate_key  cert/_test_com.key;

  location / {
    proxy_redirect ~^http://192.168.1.100/(.*) https://xyz.test.com/$1;
    proxy_pass http://192.168.1.100/;
  }
}

通常反向代理后，原网站的一些302跳转地址还是原来代理的地址（本文中指192.168.1.100），此时如果不想改动代码配置，可通过给nginx增加proxy_rediret配置，来替换location中的地址。

如原location为：http://192.168.1.100/index.html，可配置：

proxy_redirect ~^http://192.168.1.100/(.*) https://xyz.test.com/$1;

配置后，访问后得到的地址会是：https://xyz.test.com/index.html。其中“~^”是使用正则的标志，“(.*)”表示其他内容，nginx自动填充到后面对应的“$1”中，如果有多个“(.*)”，则依次填写“$1”，“$2”，依次类推。

Nginx – 二、实用代理之https

Microholmes — Tue, 08 Dec 2020 13:36:52 +0000

nginx可把http的站点反向代理为https的站点，只需要在nginx上配置对应的证书，及监听对应的端口。

nginx也支持配置http2.0，具体配置可参考官方网站介绍或其他博客介绍。

以下展示nginx反向代理为https站点：
你必须具备以下物料：
1. 一个域名，如xyz.test.com;
2. 这个域名对应的证书，通常为pfx格式的证书，可通过openssl工具将其解析成pem和key两个证书文件；
3. 如需要浏览器认可证书，需要购买认可的ca证书，自己颁发的私有证书，现在的chrome浏览器（版本87.0.4280.88）通常会提示不安全，并拒绝访问，需要用户点击确认访问。

server {
  listen 443 ssl;
  server_name xyz.test.com;

  ssl_certificate cert/_test_com.pem;
  ssl_certificate_key cert/_test_com.key;

  location / {
  proxy_set_header X-Real-IP $remote_addr;
  proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
  proxy_pass http://192.168.1.100/;

  sub_filter_once off;
  }
}

Nginx – 一、基本代理

Microholmes — Tue, 08 Dec 2020 13:21:32 +0000

nginx基本反向代理，常用于将内网站点代理开放给外网访问。

如外网https://xyz.test.com，内网是http://192.168.1.100，代理如下:

server {
  listen       443 ssl;
  server_name  xyz.test.com;

  ssl_certificate      cert/_test_com.pem;
  ssl_certificate_key  cert/_test_com.key;

  location / {
    proxy_pass http://192.168.1.100/;
  }
}