筑牢Web防线（Nginx目录遍历防护入门教程）

Nginx默认是否安全？

好消息是：Nginx在默认配置下不会自动解析包含“../”的路径，也就是说，它本身具备一定的抗目录遍历能力。但如果你在配置中使用了不安全的指令（如alias配合正则匹配不当），仍可能引入风险。

安全配置实战

以下是几种推荐的安全配置方法，帮助你彻底堵住目录遍历漏洞。

方法一：避免使用危险的 alias 配置

错误示例（存在风险）：

location ~ ^/files/(.*)$ {    alias /var/www/data/$1;}  

攻击者可构造：/files/../../../../etc/passwd 来读取系统文件。

正确做法：使用 root 指令替代，或严格限制路径。

location /files/ {    root /var/www;    # 实际访问路径为 /var/www/files/xxx}  

方法二：显式禁止“..”路径

在 server 块中加入以下规则，直接拒绝包含“..”的请求：

if ($request_uri ~ "\.\.") {    return 403;}  

⚠️ 注意：Nginx官方不推荐过度使用 if，但在安全场景下此用法是可接受的。

方法三：限制访问文件类型（可选）

如果你只允许访问图片或特定后缀文件，可以这样配置：

location ~ ^/uploads/(.*\.(jpg|jpeg|png|gif))$ {    root /var/www;    expires 30d;}# 拒绝其他所有请求location /uploads/ {    deny all;}  

测试你的防护是否生效

配置完成后，重启Nginx：

sudo nginx -t   # 测试配置语法sudo systemctl reload nginx  # 重载配置  

然后尝试访问：

http://your-domain.com/../../../etc/passwd  

如果返回 403 Forbidden 或 404 Not Found，说明防护已生效！

总结

通过合理配置Nginx，我们可以有效防止目录遍历攻击。关键点包括：避免危险的alias用法、显式拦截含“..”的请求、限制可访问的文件类型。记住，Nginx目录遍历防护是Web服务器安全的基础环节，务必重视。同时，定期更新Nginx版本、遵循最小权限原则，也是保障Web服务器安全的重要措施。

希望这篇教程能帮助你掌握防止目录遍历攻击的核心技巧。如果你正在部署生产环境，请务必结合Nginx安全配置最佳实践，打造更坚固的防线！