当前位置：首页 > news >正文

利用nginx内部访问特性实现静态资源授权访问

news 2026/2/10 20:13:52

在nginx中，将静态资源设为internal；然后将前端的静态资源地址改为指向后端，在后端的响应头部中写上静态资源地址。

近期客户对我们项目做安全性测评，暴露出一些安全性问题，其中一个是有些静态页面（*.html）无须授权即可直接访问，里面的信息一览无遗，不安全。这些静态页面都是arcgis地图页面，依赖arcgis for js，没有办法做成一般意义上的动态页面。或者说，该项目是个老项目，目前只处于维护阶段，大规模改头换面不现实。

怎么办，有没有什么方法，不改这些静态页面，或者是不做大的调整，就能实现只有登录后才能访问它们呢？看到网上有文章介绍，可以利用nginx的internal特性，将静态资源设为内部访问，即可实现需要鉴权才能访问。

原理说起来也比较简单。所谓内部访问，是指你直接在浏览器输入静态资源地址，将无法访问，会直接报404，只有通过后端向nginx发送特定信息才可以。而后端，我们是要登录系统以后才能请求的，所以就能实现我们想要的效果了。

具体来说就是：假设我们前端部署在nginx，原本我们要访问某个静态页面：/A.html，现在不行了，要将地址改为 /api/static/getA，改而向后端请求；后端收到请求后，在响应信息头里加上一句：response.setHeader("X-Accel-Redirect", "/A.html");返回；nginx接收到响应信息后，于是将/A.html最终返回。

现在来真的，我们要实现/projects/dzzhyj/index.html的鉴权访问。以下是实现步骤：
在这里插入图片描述

一、配置nginx

server {listen      8001;server_name 192.168.0.218;。。。location /projects/dzzhyj/ {alias /home/gzdd_html/gzdd/projects/dzzhyj/;#物理路径location ~* \.html$ {#只设置*.html为内部访问internal;}}      
}

二、修改前端代码

<template><div class="-map-container">
<!--    <iframe src="/projects/dzzhyj/index.html" ></iframe> --><iframe src="/api/dzzhyj/redirect/dzzhyj" ></iframe></div>
</template>

三、增加后端代码

@Controller
@RequestMapping("redirect")
public class RedirectController {@GetMapping("/dzzhyj")public void handleDzzhyj(HttpServletRequest request, HttpServletResponse response) throws Exception {response.setHeader("X-Accel-Redirect", "/projects/dzzhyj/index.html");}
}

四、运行结果

在这里插入图片描述

完美。

五、小结

这功能在nginx下才能使用。其他web服务器有没有类似机制不得而知。但我们平时开发，用vue，都直接用npm来跑，所以后端代码做点更改，判断是nginx发出的请求，才做上述处理，否则跳转：

@Controller
@RequestMapping("redirect")
public class RedirectController {@GetMapping("/dzzhyj")public void handleDzzhyj(HttpServletRequest request, HttpServletResponse response) throws Exception {String xForwardedForHeader = request.getHeader("X-Real-IP");if (xForwardedForHeader != null && !xForwardedForHeader.isEmpty()) {// 请求经过了 Nginxresponse.setHeader("X-Accel-Redirect", "/projects/dzzhyj/index.html");} else {// 请求未经过 NginxString[] hosts = request.getHeader("X-Forwarded-Host").split(",");String url = String.format("http://%s/projects/dzzhyj/index.html",hosts[0]);response.sendRedirect(url);}}
}

其实没有方法能直接判断请求是否来自nginx，我是比较了从node发出的请求和从nginx发出的请求所包含的键值，看其中有没有包含“X-Real-IP”，简单地做了一下判断，不一定对。

参考文章：
Nginx的internal路径和内部重定向（X-Accel-Redirect）

利用nginx内部访问特性实现静态资源授权访问

一、配置nginx

二、修改前端代码

三、增加后端代码

四、运行结果

五、小结

相关文章：

利用nginx内部访问特性实现静态资源授权访问

fly-barrage 前端弹幕库（1）：项目介绍

jetcache如果一个主体涉及多个缓存时编辑或者删除时如何同时失效多个缓存

uni-app 实现拍照后给照片加水印功能

【ArcGIS】利用DEM进行水文分析：流向/流量等

论文阅读笔记——PathAFL：Path-Coverage Assisted Fuzzing

C语言中各种运算符用法

pythonJax小记（五）：python: 使用Jax深度图像（正交投影和透视投影之间的转换）（持续更新，评论区可以补充）

web安全学习笔记【16】——信息打点（6）

145.二叉树的后序遍历

ssh远程连接免密码访问

Vue-Json-Schema-Form: 如何基于模板定制前端页面

保存Json对象到数据库

《Docker 简易速速上手小册》第3章 Dockerfile 与镜像构建（2024 最新版）

【Python笔记-设计模式】适配器模式

二分算法（c++版）

【C#】用于基于 UV DLP 的 3D 打印机的切片软件源码解析（一）DLP原理 GUI

Javase补充-Arrays类的常用方法汇总

微信小程序-人脸检测-眨眼驱动ESP32蓝牙设备灯

怎么在wifi中实现手机和电脑文件互传

零门槛NAS搭建：WinNAS如何让普通电脑秒变私有云？

【HarmonyOS 5.0】DevEco Testing：鸿蒙应用质量保障的终极武器

【大模型RAG】Docker 一键部署 Milvus 完整攻略

TRS收益互换：跨境资本流动的金融创新工具与系统化解决方案

3-11单元格区域边界定位(End属性)学习笔记

安卓基础（aar）

Python Ovito统计金刚石结构数量

[免费]微信小程序问卷调查系统(SpringBoot后端+Vue管理端)【论文+源码+SQL脚本】

day36-多路IO复用

STM32---外部32.768K晶振（LSE）无法起振问题