nginx - 如何阻止自定义标头

Question

我有nginx本地运行，以及我的本地测试SOAP server。我正在使用SoapUI通过nginx向此服务器发送soap请求，例如SoapUI -> Nginx:80 -> SoapSever:9338。

我的目标是去掉非标准的标题，以加强安全性。我想保留content-type,accept等，但我想剥离标头，如myHeader1或abc=xyz。

作为我的测试的一部分，我发送自定义标题，我可以看到它们到达我的服务器远端，所以nginx没有做任何过滤。我试过在我的/etc/nginx/nginx.conf文件中使用ignore_invalid_headers on;在http {}下，但我认为这意味着与我认为不同的东西，因为它没有去掉任何头文件。

我可以从文档中看到，您可以添加标题或更改特定标题，但是可以删除所有非标准/自定义标题，还是可以指定我只想接受的标题列表？

谢谢。

Answer 1

ignore_invalid_headers指令只会忽略错误格式化的标题。
要清除某些标题，您可以查看more_clear_headers指令。

有关更多详细信息，请参见http://wiki.nginx.org/NginxHttpHeadersMoreModule#more_clear_headers。

它不是标准nginx发行版的一部分，所以你将不得不手动安装它。

例

more_clear_headers 'X-*'; 

将清除所有的头开始X-