标签: nginx webserver
无视最佳做法,使用return 403达到与deny all;完全相同的效果吗?来自文档:
return 403
deny all;
拒绝:
拒绝访问指定的网络或地址。
返回:
停止处理并将指定的代码返回给客户端。
“拒绝访问”是否与“停止处理并返回指定代码”相同?如果没有,“拒绝访问”真正意味着什么?
答案 0 :(得分:0)
deny all将具有相同的结果,但会产生滑倒的可能性:
deny all
如果您具有auth_basic和/或在带有满意指令的父块中允许,则请求 satisfying 这些条件将在继承块中具有访问权,而从表面上看,它们拒绝访问。如果您不使用此功能,则无需担心。
此问题answer进行了说明,建议由于继承而不在服务器{}级别上使用满意度+允许+拒绝。
如果我知道资源在任何情况下均不应通过以下方式访问,那么我得出的结论是,返回403(甚至是404,因为rfc suggests出于不泄露信息的目的)的错误率较小。 http,即使在一般情况下也是“授权”。