当心Nginx的add_header指令

转载请注明文章出处：tlanyan.me/be-careful-…

昨天无聊用curl查看一个站点的信息，发现返回的头部与想象中的不同：

HTTP/2 200
date: Thu, 07 Feb 2019 04:26:38 GMT
content-type: text/html; charset=UTF-8
vary: Accept-Encoding, Cookie
cache-control: max-age=3, must-revalidate
last-modified: Thu, 07 Feb 2019 03:54:54 GMT
X-Cache: Miss
server: cloudflare
...
复制代码

主站点在nginx.conf中配置了HSTS等header：

add_header Strict-Transport-Security "max-age=63072000; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
复制代码

但响应头部没有这些header。除了常规的header，仅出现了一个配置配置在location中的header X-Cache。

第一印象是CDN过滤了这些header？因而找Cloudflare的文档，没发现会对这些进行处理。转念一想，CDN过滤这些干啥啊？吃饱了撑的啊？他们又不搞zheng审那一套！

问题转移到Nginx的配置上。打开Google搜索"nginx location add_header"，果真发现很多槽点。点开官网add_header的文档，有这样的描述（其余信息已省略）：

There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.

注意重点在**“These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level. ”**。即：仅当当前层级中没有add_header指令才会继承父级设置。因此个人疑问就清晰了：location中有add_header，nginx.conf中的配置被丢弃了。

这是Nginx的故意行为，说不上是bug或坑。但深刻体会这句话，会发现更有意思的现象：仅最近一处的add_header起做用。http、server和location三处都可配置add_header，但起做用的是最接近的配置，往上的配置都会失效。

但问题还不只于此。若是location中rewrite到另外一个location，最后结果仅出现第二个的header。例如：

location /foo1 {
    add_header foo1 1;
    rewrite / /foo2;
}

location /foo2 {
    add_header foo2 1;
    return 200 "OK";
}
复制代码

无论请求/foo1仍是/foo2，最终header只有foo2：

尽管说得通这是正常行为，但总让人感受有点勉强和不舒坦：server丢掉http配置，location丢掉server配置也就算了，但两个location在同一层级啊！

不能继承父级配置，又不想在当前块重复指令，解决办法能够用include指令。

参考

1. Nginx Module ngx_http_headers_module
2. Nginx add_header configuration pitfall
3. Be very careful with your add_header in Nginx! You might make your site insecure
4. add_header directives in location overwriting add_header directives in server
5. nginx 配置之 add_header 的坑