我們都知道HTTP的header可以塞自定義的內容,身為一個Web Develop Developer開發的API在大部分的情況下都會要求client side提供一個token或key來讓server side驗證這個request是否允許存取這個API,當然這個token必須是由server side產生的,這時候我們就需要請client side把token塞在request header裡面,server side會去驗證這個token是不是合法的
Nginx會將含有底線的header視為不合法
Nginx預設的設定會將含有底線(underscore)的欄位名稱視為不合法的header,導致server side的程式碼無法取得自定義的header內容
解決這個問題有兩個方法
1.不要在header field name使用底線
2.在nginx.conf啟用underscores_in_headers:
underscores_in_headers on;
為了查明這個問題還特地去看了一下nginx的source code
rc = ngx_http_parse_header_line(r, r->header_in,
cscf->underscores_in_headers);
if (rc == NGX_OK) {
r->request_length += r->header_in->pos - r->header_name_start;
if (r->invalid_header && cscf->ignore_invalid_headers) {
/* there was error while a header line parsing */
ngx_log_error(NGX_LOG_INFO, c->log, 0,
"client sent invalid header line: \"%*s\"",
r->header_end - r->header_name_start,
r->header_name_start);
continue;
}
/* a header line has been parsed successfully */
h = ngx_list_push(&r->headers_in.headers);
if (h == NULL) {
ngx_http_close_request(r, NGX_HTTP_INTERNAL_SERVER_ERROR);
return;
}
h->hash = r->header_hash;
h->key.len = r->header_name_end - r->header_name_start;
h->key.data = r->header_name_start;
h->key.data[h->key.len] = '\0';
h->value.len = r->header_end - r->header_start;
h->value.data = r->header_start;
h->value.data[h->value.len] = '\0';
h->lowcase_key = ngx_pnalloc(r->pool, h->key.len);
if (h->lowcase_key == NULL) {
ngx_http_close_request(r, NGX_HTTP_INTERNAL_SERVER_ERROR);
return;
}
if (h->key.len == r->lowcase_index) {
ngx_memcpy(h->lowcase_key, r->lowcase_header, h->key.len);
} else {
ngx_strlow(h->lowcase_key, h->key.data, h->key.len);
}
hh = ngx_hash_find(&cmcf->headers_in_hash, h->hash,
h->lowcase_key, h->key.len);
if (hh && hh->handler(r, h, hh->offset) != NGX_OK) {
return;
}
ngx_log_debug2(NGX_LOG_DEBUG_HTTP, r->connection->log, 0,
"http header: \"%V: %V\"",
&h->key, &h->value);
continue;
}
從上面的程式碼可以看到,如果被nginx視為不合法的(invalid)header就會將client sent invalid header line xxx寫入log,並且不會繼續往下執行而是直接continue
所以如果在server side的程式碼無法取得自定義的header內容且滿足以下條件:
- server side使用的web server是nginx
- 確定client side有給server side自定義的header而且這個header含有底線的名稱
- 在server side的程式碼無法取得自定義的header內容
- underscores_in_header沒開
就打開underscores_in_header和reload nginx
含有底線的header被視為不合法的原因
這是為了避免將header fileds name傳遞到CGI變數的時候造成衝突,因為nginx將header映設給CGI變數的時候會將破折號(dashes)和底線(underscores)都轉成底線,如果自定義的header有兩個My–Token和My_Token
GET /
Host: tonyhao.net
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: PHPSESSID=r2t5uvjq435r4q7ib3vtdjq120
Pragma: no-cache
Cache-Control: no-cach
My-Token: my-token1
My_Token: my-token2
映設到CGI變數的時候都會變成My_Token,在這個情況下就會發生衝突了
參考資料
https://github.com/nginx/nginx/blob/master/src/http/ngx_http_request.c
http://nginx.org/en/docs/http/ngx_http_core_module.html#underscores_in_header
https://code.tutsplus.com/tutorials/http-headers-for-dummies–net-8039