nginx - 如何阻止自定義標頭

Question

我有nginx本地運行，以及我的本地測試SOAP server。我正在使用SoapUI通過nginx向此服務器發送soap請求，例如SoapUI -> Nginx:80 -> SoapSever:9338。

我的目標是去掉非標準的標題，以加強安全性。我想保留content-type,accept等，但我想剝離標頭，如myHeader1或abc=xyz。

作爲我的測試的一部分，我發送自定義標題，我可以看到它們到達我的服務器遠端，所以nginx沒有做任何過濾。我試過在我的/etc/nginx/nginx.conf文件中使用ignore_invalid_headers on;在http {}下，但我認爲這意味着與我認爲不同的東西，因爲它沒有去掉任何頭文件。

我可以從文檔中看到，您可以添加標題或更改特定標題，但是可以刪除所有非標準/自定義標題，還是可以指定我只想接受的標題列表？

謝謝。

Answer 1

ignore_invalid_headers指令只會忽略錯誤格式化的標題。
要清除某些標題，您可以查看more_clear_headers指令。

有關更多詳細信息，請參見http://wiki.nginx.org/NginxHttpHeadersMoreModule#more_clear_headers。

它不是標準nginx發行版的一部分，所以你將不得不手動安裝它。

例

more_clear_headers 'X-*'; 

將清除所有的頭開始X-