Nginx基于站点目录和文件的URL访问控制

对于为用户服务的大多数公司而言，把控用户权限是一件十分重要的事情。通过配置Nginx来禁止访问上传资源目录下的PHP、shell、Python等程序文件，这样用户即使上传了这些文件也没法去执行，以此来加强网站安全。

1. 限制禁止解析指定目录下的制定程序

location ~ ^/images/.*.(php|php5|.sh|.pl|.py)$ { 
  deny all; 
} 

location ~ ^/static/.*.(php|php5|.sh|.pl|.py)$ { 
  deny all; 
} 

location ~* ^/data/(attachment|avatar)/.*.(php|php5)$ { 
  deny all; 
} 

2. 禁止访问Nginx的root根目录下的某些文件

location ~*.(txt|doc)${
  if (-f $request_filename) {
    root /data/www/www;
    #还可以使用"rewrite ...."重定向某个URL
    break;
  }
}

location ~*.(txt|doc)${
    root /data/www/www;
    deny all;
}

需要注意：如果有php匹配配置，上面的限制配置应该放在php匹配的前面

location ~.*.(php|php5)?${
　 fastcgi_pass 127.0.0.1:9000
　 fastcgi_index index.php
　 include fcgi.conf;
}

3. 禁止指定目录或path匹配的访问

location ~ ^/(static)/ {
        deny all;
}

location ~ ^/static {
        deny all;
}


#禁止访问目录并返回指定的http状态码
location /admin/ { 
  return 404; 
}
location /templates/ { 
  return 403; 
}

4. 限制网站来源IP访问。比如禁止某目录让外界访问，但允许某IP访问该目

location ~ ^/order/ { 
  allow 172.16.60.23; 
  deny all;
}

还可以使用if来限制客户端ip访问（即添加白名单限制）

if ( $remote_addr = 172.16.60.28 ) {
    return 403;
}

if ( $remote_addr = 172.16.60.32 ) {
    set $allow_access_root 'true';
}