ignore_ip
`ignore_ip` 指令允许 NAXSI 模块将指定的 IP 地址排除在请求过滤之外。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法ignore_ip address;
默认值none
上下文http, server, location, limit_except
参数1+
说明
ignore_ip 指令在 NAXSI 模块中实际上创建了一个 IP 地址白名单,这些地址将免于受 NAXSI 强制执行的 anti-XSS 和 SQL injection 规则的约束。对于特定受信任的客户端(例如内部应用或某些用户)需要绕过 NAXSI 对所有传入流量施加的安全检查的场景,这尤其有用。通过指定一个或多个 IP 地址,管理员可以确保来自这些来源的请求不会受到可能阻止合法流量或应用的过滤和规则检查的影响。
ignore_ip 指令的行为很直接;当请求来源的 IP 地址与列出的某个值匹配时,NAXSI 将跳过对该请求的正常评估和处理。这是通过将每个请求的客户端 IP 与指定条目进行匹配来实现的。需要注意的是,可以将多个 IP 地址配置为参数,从而在管理客户端例外时提供灵活性。然而,管理员必须谨慎管理此指令,以避免无意中将应用暴露于潜在的安全风险——为受信任来源绕过过滤如果这些来源被攻陷,可能导致被利用。
配置示例
http {
ignore_ip 192.168.1.1;
ignore_ip 10.0.0.0/8;
}⚠
出于安全考虑,除非绝对必要,否则不要将整个地址段列入白名单。
⚠
在配置 ignore_ip 后,监控日志是必不可少的,以确保合法请求得到正确处理。
⚠
IP 地址应正确格式化,以避免出现意外行为。