前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Nginx专题-静态资源

Nginx专题-静态资源

作者头像
用户1081422
发布2020-04-08 10:07:23
1.4K0
发布2020-04-08 10:07:23
举报
文章被收录于专栏:T客来了

章节目录

  • 静态资源分类
  • CDN场景
  • nginx作为静态资资源web服务_配置语法
  • 浏览器缓存
  • 服务器端设置浏览器缓存过期实践
  • 跨站访问
静态资源分类

静态资源:非服务器动态运行生成的文件

类型

种类

浏览器端渲染

html、js、css

图片

jpeg、gif、png

视频

flv、mpeg

文件

txt、excel

CDN场景

如上图所示,用户请求通过DNS解析技术,将用户请求定位到分发层 代理服务器nginx上。

nginx作为静态资资源web服务_配置语法

配置语法-tcp_nopush

代码语言:javascript
复制
要求实时性不高的场景下使用,不着急返回给客户端
语法:tcp_nopush on | off;
默认配置:tcp_nopush  off;
可配置模块:http、server、location
nopush:整体处理,资源准备好之后一起发送给用户

作用:在sendfile开启状态下,提高网络包的传输效率

配置语法-tcp_nodelay

代码语言:javascript
复制
要求实时性比较高的场景下使用
语法:tcp_nodelay on | off;
默认配置:tcp_nodelay  on;
可配置模块:http、server、location

作用:keepalive连接下,提高网络包的传输实时性

配置语法-压缩

代码语言:javascript
复制
解压(浏览器端)---------------->压缩(nginx静态资源服务端)
语法: gzip_comp_level level;
默认配置:gzip_comp_level 1;
可配置模块:http、server、location

压缩模块扩展
http_gzip_static_module-支持预读gzip功能

作用:较少网络资源的消耗,提高静态资源快速响应的能力,提高服务端的处理效率

浏览器缓存

http协议定义的缓存机制

代码语言:javascript
复制
如:Expires;cache-control等

校验过期机制

校验是否过期

Expires-1.0、Cache-Control(max-age)-1.1版本

协议中Etag头信息校验

Etag

Last-Modified头信息校验

Last-Modified

详细解释:

代码语言:javascript
复制
1.cache-control-(本地缓存是否失效验证阶段):
客户端缓存的文件先会检查原先请求头中的cache-control是否已经超过可缓存 期限,超过则过期
2.Last-Modified 1s精度
跟了时间,客户端请求过程中请求头中携带Last-Modified 如果跟服务器端文件的last-Modified相同则返回304,如果不相同则服务端重新返回给客户端。
3.Etag 是对服务器文件的一段编码,服务器文件变化后Etag会发生变化,
如果客户端传递过来的Etag与服务器端不一致,则响应最新的文件并在响应之
前进行缓存协商,返回对应的缓存控制信息给浏览器。

浏览器缓存原理示意图

服务器端设置浏览器缓存过期实践

Response添加Cache-Control、Expries头

代码语言:javascript
复制
语法:expries time;
默认:expries off;//默认是关闭的
可配置项:http、server、location、if in location

配置实践

代码语言:javascript
复制
1. touch /etc/nginx/conf.d/static_server.conf
2. vi  /etc/nginx/conf.d/static_server.conf
3. 配置如下:
server {
   listen 80;
   server_name eshop-cache03;

   location ~ .*\.(html|htm)$ {
     expires 24h;//添加时间
     root /opt/app/code;
   }
}

浏览器强制设置请求头Cache-Control 保证随时跟服务器交互

跨站访问

什么是跨站访问

代码语言:javascript
复制
即浏览器访问统一个页面www.a.com,利用ajax请求www.b.com

为什么浏览器禁止跨域访问不安全,容易出现csrf攻击! 如下图所示:

跨站访问详解

代码语言:javascript
复制
举例说明:
假如一家银行用以执行转账操作的URL地址如下: [http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName](http://www.examplebank.com/withdraw?account=AccoutName&amount=1000&for=PayeeName)

那么,一个恶意攻击者可以在另一个网站上放置如下代码: <img src="[http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman](http://www.examplebank.com/withdraw?account=Alice&amount=1000&for=Badman)">

如果有账户名为Alice的用户访问了恶意站点,而她之前刚访问过银行不久,登录信息尚未过期,那么她就会损失1000资金。

这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何[用户生成内容](https://zh.wikipedia.org/wiki/%E7%94%A8%E6%88%B7%E7%94%9F%E6%88%90%E5%86%85%E5%AE%B9 "用户生成内容")的网站中。这意味着**如果服务器端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险**。

透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是**欺骗用户浏览器,让其以用户的名义执行操作**。

nginx设置允许跨站访问假如我们使用nginx做了动静分离,动态数据都需要通过ajax请求数据接口来获取,那么浏览器默认的同源策略会组织我们去成功请求数据接口。比如我们网站A网页域名前缀是www.abc.com、数据接口网站前缀是 api.abc.com .那么这个就属于跨站访问了。如何通过nginx服务器设置,使得api.abc.com 允许跨站访问呢?

代码语言:javascript
复制
配置如下:
语法:add_header name value [always];
默认:---
可配置上下文:http、server、location

浏览器端是否允许跨站访问是需要验证response 中的Access-Control-Allow-Origin跨站访问实战

代码语言:javascript
复制
配置如下:
server {
   listen 80;
   server_name  api.abc.com;
   location ~ .*\.(html|htm)$ {
       add_header Access-Control-Allow-Origin http://www.abc.com;
       add_header Access-Control-Allow-Methods GET,POST,DELET,PUT,OPTIONS;
      root /opt/app/code;
   }
}

浏览器判断服务器返回头中返回的Access-Control-Allow-Origin 字段是否包含www.abc.com ,如若包含,正确返回相关响应数据。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-11-03,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 T客来了 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 章节目录
    • 静态资源分类
      • CDN场景
        • nginx作为静态资资源web服务_配置语法
          • 浏览器缓存
            • 服务器端设置浏览器缓存过期实践
              • 跨站访问
              相关产品与服务
              内容分发网络 CDN
              内容分发网络(Content Delivery Network,CDN)通过将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
              领券
              问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档