Month: July 2017

[Nginx]接收自定義header需要注意的事情

我們都知道HTTP的header可以塞自定義的內容,身為一個Web Develop Developer開發的API在大部分的情況下都會要求client side提供一個token或key來讓server side驗證這個request是否允許存取這個API,當然這個token必須是由server side產生的,這時候我們就需要請client side把token塞在request header裡面,server side會去驗證這個token是不是合法的

Nginx會將含有底線的header視為不合法

Nginx預設的設定會將含有底線(underscore)的欄位名稱視為不合法的header,導致server side的程式碼無法取得自定義的header內容

解決這個問題有兩個方法

1.不要在header field name使用底線

2.在nginx.conf啟用underscores_in_headers:

underscores_in_headers on;

為了查明這個問題還特地去看了一下nginx的source code

        rc = ngx_http_parse_header_line(r, r->header_in,
                                        cscf->underscores_in_headers);

        if (rc == NGX_OK) {

            r->request_length += r->header_in->pos - r->header_name_start;

            if (r->invalid_header && cscf->ignore_invalid_headers) {

                /* there was error while a header line parsing */

                ngx_log_error(NGX_LOG_INFO, c->log, 0,
                              "client sent invalid header line: \"%*s\"",
                              r->header_end - r->header_name_start,
                              r->header_name_start);
                continue;
            }

            /* a header line has been parsed successfully */

            h = ngx_list_push(&r->headers_in.headers);
            if (h == NULL) {
                ngx_http_close_request(r, NGX_HTTP_INTERNAL_SERVER_ERROR);
                return;
            }

            h->hash = r->header_hash;

            h->key.len = r->header_name_end - r->header_name_start;
            h->key.data = r->header_name_start;
            h->key.data[h->key.len] = '\0';

            h->value.len = r->header_end - r->header_start;
            h->value.data = r->header_start;
            h->value.data[h->value.len] = '\0';

            h->lowcase_key = ngx_pnalloc(r->pool, h->key.len);
            if (h->lowcase_key == NULL) {
                ngx_http_close_request(r, NGX_HTTP_INTERNAL_SERVER_ERROR);
                return;
            }

            if (h->key.len == r->lowcase_index) {
                ngx_memcpy(h->lowcase_key, r->lowcase_header, h->key.len);

            } else {
                ngx_strlow(h->lowcase_key, h->key.data, h->key.len);
            }

            hh = ngx_hash_find(&cmcf->headers_in_hash, h->hash,
                               h->lowcase_key, h->key.len);

            if (hh && hh->handler(r, h, hh->offset) != NGX_OK) {
                return;
            }

            ngx_log_debug2(NGX_LOG_DEBUG_HTTP, r->connection->log, 0,
                           "http header: \"%V: %V\"",
                           &h->key, &h->value);

            continue;
        }

從上面的程式碼可以看到,如果被nginx視為不合法的(invalid)header就會將client sent invalid header line xxx寫入log,並且不會繼續往下執行而是直接continue

所以如果在server side的程式碼無法取得自定義的header內容且滿足以下條件:

  1. server side使用的web server是nginx
  2. 確定client side有給server side自定義的header而且這個header含有底線的名稱
  3. 在server side的程式碼無法取得自定義的header內容
  4. underscores_in_header沒開

就打開underscores_in_headerreload nginx

含有底線的header被視為不合法的原因

這是為了避免將header fileds name傳遞到CGI變數的時候造成衝突,因為nginx將header映設給CGI變數的時候會將破折號(dashes)和底線(underscores)都轉成底線,如果自定義的header有兩個MyTokenMy_Token

GET /
Host: tonyhao.net
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5 (.NET CLR 3.5.30729)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: PHPSESSID=r2t5uvjq435r4q7ib3vtdjq120
Pragma: no-cache
Cache-Control: no-cach
My-Token: my-token1
My_Token: my-token2

映設到CGI變數的時候都會變成My_Token,在這個情況下就會發生衝突了

參考資料

https://github.com/nginx/nginx/blob/master/src/http/ngx_http_request.c

http://nginx.org/en/docs/http/ngx_http_core_module.html#underscores_in_header

https://code.tutsplus.com/tutorials/http-headers-for-dummies–net-8039

Advertisements