IgnoreIP
IgnoreIP 指令配置 NAXSI,使其对指定的 IP 地址绕过请求过滤。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法ignore_ip IP_ADDRESS [IP_ADDRESS ...];
默认值none
上下文http, server, location, limit_except
参数1+
说明
IgnoreIP 指令是 NGINX Anti XSS & SQL Injection 模块 (NAXSI) 的一部分,用于指定一系列应当免除该模块过滤规则的 IP 地址。当来自这些指定 IP 地址之一的请求到达时,NAXSI 不会对其应用任何安全措施(例如 XSS 或 SQL Injection 防护),允许这些请求不受过滤地通过。这对于将受信任的内部服务或开发环境列入白名单特别有用,因为这些环境可能会生成被 NAXSI 规则误判为潜在威胁的合法请求。
该指令接受一个或多个 IP 地址作为参数。这些地址可以用标准的点分十进制表示(用于 IPv4 地址),或者用十六进制表示(用于 IPv6 地址)。务必确保仅将受信任的 IP 地址包含在此指令中,否则可能会使应用暴露于安全风险。如果同一 IP 地址被多次指定,将被忽略;因此应删除所有重复项以保持配置的清晰与高效。
IgnoreIP 指令可以放置在 NGINX 配置文件的不同上下文中,包括 http、server、location 和 limit_except。此灵活性允许管理员根据特定需求定制安全配置。例如,某些 IP 可能只需要在特定的 server 块或 location 中免除过滤,而其他 IP 可能需要在整个服务器配置中完全免除。
配置示例
server {
listen 80;
server_name example.com;
# Ignore filtering for the development server IP
ignore_ip 192.168.1.10;
location / {
# Other location configuration here
}
}⚠
列出动态分配的 IP address 可能会导致意外的安全问题,如果该 IP 之后被重新分配。
⚠
请确保所有受信任的 IP addresses 都有明确记录,因为该指令如果配置不当可能会带来重大安全风险。
⚠
条目过多会使配置变得杂乱并增加管理难度,尤其是当 IP addresses 经常变动时。