ignore_cidr
`ignore_cidr` 指令用于配置 NAXSI 在安全过滤时忽略某些 IP 地址范围。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法ignore_cidr CIDR_address | CIDR_address ...;
默认值none
上下文http, server, location, limit_except
参数1+
说明
ignore_cidr 指令在 NGINX Anti XSS & SQL Injection (NAXSI) 模块中允许您指定一个或多个 CIDR (Classless Inter-Domain Routing) 表示法,用于定义要从安全规则评估中排除的 IP 地址范围。在某些场景中这很有用,例如某些流量(如内部请求或已知的安全来源)不应触发 NAXSI 防火墙,从而避免可能干扰正常操作的误报。
要使用此指令,您需要以参数形式提供一个或多个 CIDR 格式的 IP 地址。每个指定的 CIDR 范围都会与传入请求中的客户端 IP 进行匹配。如果客户端的 IP 落在指定的 CIDR 范围内,NAXSI 将忽略原本会应用于该请求的任何安全规则。此类排除有助于在不影响对其他客户端整体安全措施的情况下,保持对指定受信任来源的功能。
该指令可用于多个上下文,包括 http、server、location 和 limit_except,可根据您的架构和需求灵活部署。请确保 CIDR 地址格式正确,以避免配置错误导致的安全漏洞或意外流量阻断。
配置示例
http {
ignore_cidr 192.168.1.0/24;
server {
location / {
# Other configuration
}
}
}⚠
确保 CIDR 地址正确,以避免意外的请求过滤。
⚠
如果未经仔细考虑,使用过于宽泛的 CIDR 可能会使您的应用程序暴露于安全风险。
⚠
多个 ignore_cidr 指令可能导致混淆;请清楚地记录它们的用法。