當心Nginx的add_header指令

轉載請註明文章出處：tlanyan.me/be-careful-…

昨天無聊用curl查看一個站點的信息，發現返回的頭部與想象中的不同：

HTTP/2 200
date: Thu, 07 Feb 2019 04:26:38 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding, Cookie
cache-control: max-age=3, must-revalidate
last-modified: Thu, 07 Feb 2019 03:54:54 GMT
X-Cache: Miss
server: cloudflare
...
複製代碼

主站點在nginx.conf中配置了HSTS等header：

add_header Strict-Transport-Security "max-age=63072000; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
複製代碼

但響應頭部沒有這些header。除了常規的header，僅出現了一個配置配置在location中的header X-Cache。

第一印象是CDN過濾了這些header？因而找Cloudflare的文檔，沒發現會對這些進行處理。轉念一想，CDN過濾這些幹啥啊？吃飽了撐的啊？他們又不搞zheng審那一套！

問題轉移到Nginx的配置上。打開Google搜索"nginx location add_header"，果真發現很多槽點。點開官網add_header的文檔，有這樣的描述（其餘信息已省略）：

There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.

注意重點在**「These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level. 」**。即：僅噹噹前層級中沒有add_header指令纔會繼承父級設置。因此個人疑問就清晰了：location中有add_header，nginx.conf中的配置被丟棄了。

這是Nginx的故意行爲，說不上是bug或坑。但深刻體會這句話，會發現更有意思的現象：僅最近一處的add_header起做用。http、server和location三處都可配置add_header，但起做用的是最接近的配置，往上的配置都會失效。

但問題還不只於此。若是location中rewrite到另外一個location，最後結果僅出現第二個的header。例如：

location /foo1 {
    add_header foo1 1;
    rewrite / /foo2;
}

location /foo2 {
    add_header foo2 1;
    return 200 "OK";
}
複製代碼

無論請求/foo1仍是/foo2，最終header只有foo2：

儘管說得通這是正常行爲，但總讓人感受有點勉強和不舒坦：server丟掉http配置，location丟掉server配置也就算了，但兩個location在同一層級啊！

不能繼承父級配置，又不想在當前塊重複指令，解決辦法能夠用include指令。

參考

1. Nginx Module ngx_http_headers_module
2. Nginx add_header configuration pitfall
3. Be very careful with your add_header in Nginx! You might make your site insecure
4. add_header directives in location overwriting add_header directives in server
5. nginx 配置之 add_header 的坑