Регистрация Войти
Рейтинг:0
avatar Server

Бесконечный цикл перенаправления в конфигурации nginx

флаг cn
sveri

У меня есть конфигурация nginx с настроенным SSL и двумя перенаправлениями в контейнер докеров. Один из них (редактировать https://psono.example.com/портал) работает, но тот, который пробрасывает сам домен (редактировать https://psono.example.com/) не работает и вместо этого приводит к бесконечному перенаправлению (https://psono.example.com/psono.example.com/psono.example.com/psono.example.com/psono.example.com/...)

Это мой конфиг.

сервер {
    слушать 80;
    имя_сервера psono.example.com;
    вернуть 301 https://$host$request_uri;
}

сервер {
    слушать 443 ssl http2;
    имя_сервера psono.example.com;    
    ssl_протоколы TLSv1.2;
    ssl_prefer_server_ciphers включен;
    ssl_session_cache общий: SSL: 10 м;
    ssl_session_tickets выключен;
    ssl_stapling включен;
    ssl_stapling_verify включен;
    ssl_session_timeout 1 д;
    преобразователь 8.8.8.8 8.8.4.4 действительный=300 с;
    резолвер_тайм-аут 5 с;
    ssl_ciphers '';

    # Прокомментируйте это, если знаете, что делаете
    # add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

    add_header Referrer-Policy тот же источник;
    add_header X-Frame-Options DENY;
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-защита "1; режим = блок";

    # Если за этим обратным прокси-доменом также установлен файловый сервер администратора, добавьте URL-адрес своего файлового сервера, например. https://fs01.example.com также как connect-src:
    add_header Content-Security-Policy "default-src 'none'; manifest-src 'self'; connect-src 'self' https://static.psono.com https://api.pwnedpasswords.com https://storage .googleapis.com https://*.digitaloceanspaces.com https://*.blob.core.windows.net https://*.s3.amazonaws.com; font-src 'self'; img-src 'self ' data:; script-src 'self'; style-src 'self' 'inline-unsafe'; object-src 'self'";

    ssl_certificate /etc/letsencrypt/live/psono.example.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/psono.example.com/privkey.pem;

    client_max_body_size 256 м;

    gzip включен;
    gzip_disable "msie6";
    
gzip_vary включен;
    gzip_proxy любой;
    gzip_comp_level 6;
    gzip_buffers 16 8k;
    gzip_http_версия 1.1;
    gzip_min_length 256;
    gzip_types text/простой текст/приложение css/приложение json/приложение x-javascript/текст javascript/приложение xml/приложение xml/текст xml+rss/приложение javascript/vnd.ms-fontobject application/x-font-ttf font/opentype image /svg+xml изображение/x-icon;
    
    корень /var/www/html;
    
    местоположение/сервер {
                переписать ^/server/(.*) /$1 break;
                proxy_set_header Хост $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $ схема;

        add_header Последнее изменение $date_gmt;
        add_header Прагма «без кеша»;
        add_header Cache-Control "private, max-age=0, без кеша, без хранилища";
        if_modified_since выключено;
        истекает;
        пометка отключена;
    
                proxy_pass http://localhost:10100;
    }
    
    location ~* ^/portal.*\.(?:ico|css|js|gif|jpe?g|png|eot|woff|woff2|ttf|svg|otf)$ {
        истекает 30 дней;
        add_header Публичный прагма;
        add_header Cache-Control "public";

        # Удалите начальный # из следующих строк, если у вас есть веб-клиент администратора, работающий в контейнере Docker.
        proxy_set_header Хост $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $ схема;

        proxy_pass http://localhost:10102;
        proxy_redirect http://localhost:10102 https://psono.example.com;
    }
 местоположение ~* \.(?:ico|css|js|gif|jpe?g|png|eot|woff|woff2|ttf|svg|otf)$ {
        истекает 30 дней;
        add_header Публичный прагма;
        add_header Cache-Control "public";
    
        # Удалите начальный # из следующих строк, если ваш веб-клиент работает в док-контейнере
        proxy_set_header Хост $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $ схема;

        proxy_pass http://localhost:10101;
        proxy_redirect http://localhost:10101 https://psono.example.com;
    }
    
    # Удалите начальный # из следующих строк, если у вас есть веб-клиент администратора, работающий в контейнере докеров.
     местоположение/портал {
                proxy_set_header Хост $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $ схема;

                proxy_read_timeout 90;

                proxy_pass http://localhost:10102;
     }
    
    # Удалите начальный # из следующих строк, если ваш веб-клиент администратора НЕ работает в контейнере докеров
    # место/портал {
    # индекс index.html index.htm;
    # try_files $uri /portal/index.html; # пересылать все запросы в index.html
    # }
    
    # Удалите начальный # из следующих строк, если ваш веб-клиент работает в док-контейнере
    место расположения / {
                proxy_set_header Хост $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $ схема;

                proxy_pass http://localhost:10101;
                proxy_read_timeout 90;
        #
                proxy_redirect http://localhost:10101 https://psono.example.com;
    }
}

Редактировать Вывод curl -v:


* Попытка 5.9.74.183:443...
* Установлен TCP_NODELAY
* Подключено к psono.example.com (5.9.74.183), порт 443 (#0)
* ALPN, предлагая h2
* ALPN, предлагающий http/1.1
* успешно установить места проверки сертификата:
* CA-файл: /etc/ssl/certs/ca-certificates.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), рукопожатие TLS, приветствие клиента (1):
* TLSv1.3 (IN), рукопожатие TLS, приветствие сервера (2):
* TLSv1.2 (IN), рукопожатие TLS, сертификат (11):
* TLSv1.2 (IN), рукопожатие TLS, обмен ключами сервера (12):
* TLSv1.2 (IN), рукопожатие TLS, сервер готов (14):
* TLSv1.2 (OUT), рукопожатие TLS, обмен ключами клиента (16):
* TLSv1.2 (OUT), изменение шифрования TLS, изменение спецификации шифрования (1):
* TLSv1.2 (OUT), рукопожатие TLS, Готово (20):
* TLSv1.2 (IN), рукопожатие TLS, Готово (20):
* SSL-соединение с использованием TLSv1.2/ECDHE-RSA-AES256-GCM-SHA384
* ALPN, сервер принят для использования h2
*Сертификат сервера:
* тема: CN=psono.example.com
* дата начала: 1 декабря 14:53:24 2021 по Гринвичу
* срок действия: 1 марта 14:53:23 2022 GMT
* subjectAltName: хост "psono.example.com" соответствует сертификату "psono.example.com"
* эмитент: C=US; O=Давайте зашифруем; CN=R3
* Проверка сертификата SSL в порядке.
* Используя HTTP2, сервер поддерживает многократное использование
* Состояние соединения изменено (HTTP/2 подтверждено)
* Копирование данных HTTP/2 из буфера потока в буфер соединения после обновления: len=0
* Использование идентификатора потока: 1 (простой дескриптор 0x557ac8936e10)
> ПОЛУЧИТЬ/HTTP/2
> Хост: psono.example.com
> пользовательский агент: curl/7.68.0
> принять: */*
>
* Состояние соединения изменено (MAX_CONCURRENT_STREAMS == 128)!
< HTTP/2 403
< сервер: nginx/1.18.0 (Ubuntu)
<дата: Чт, 02 декабря 2021 г., 06:53:11 по Гринвичу
<тип содержимого: текст/html
<длина содержимого: 162
<
<html>
<head><title>403 Запрещено</title></head>
<тело>
<center><h1>403 Запрещено</h1></center>
<hr><center>nginx/1.18.0 (Ubuntu)</center>
</тело>
</html>
230
0 + 0
флаг us
Tero Kilkanen
Какой URL-адрес запускает цикл перенаправления? Что выводит `curl -v` для этого URL?
0
Ответить
флаг cn
sveri
@TeroKilkanen Я обновил свой вопрос.
0
Ответить
флаг us
Tero Kilkanen
Вам необходимо предоставить учетные данные HTTP-аутентификации с ключом `-u :` в curl, чтобы получить полезный вывод.
0
Ответить
флаг cn
sveri
Используя аутентификацию, я получаю тот же результат, кроме того, главная страница не должна требовать аутентификации, а отображать страницу входа.
0
Ответить
флаг us
Tero Kilkanen
В вашем примере нет перенаправления, поэтому он не может вызвать цикл перенаправления. Он отображает «403 Forbidden», что означает, что в запросе не были переданы надлежащие учетные данные.
0
Ответить
флаг cn
sveri
Я знаю, теоретически я бы сказал это, будь я на твоем месте. Я попробовал еще несколько, и оказалось, что это проблема, характерная только для этого браузера на моем компьютере, используя другой браузер или тот же браузер на другом компьютере, я могу получить доступ к домашней странице без цикла перенаправления. Я попробовал еще немного и полностью удалил файлы cookie из домена, и теперь я могу получить доступ к домашней странице, похоже, это проблема конкретного приложения. Спасибо, что изучили это.
0
Ответить
Рейтинг:1
avatar Server
флаг cn
sveri

Оказывается, это не проблема nginx, а проблема, связанная с psono. Сначала я вошел на страницу /portal, это установило некоторые файлы cookie, а затем я больше не мог войти на главную страницу /, что привело к циклу перенаправления. Удаление файлов cookie для домена позволяет мне войти на главную страницу. Я открыл вопрос в psonos для этого: https://gitlab.com/psono/psono-сервер/-/issues/212

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.