自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

<cite id="r6oer"></cite>

<style id="r6oer"></style>

AI.x社區(qū)

軟考社區(qū)

免費(fèi)課

企業(yè)培訓(xùn)

鴻蒙開發(fā)者社區(qū)

WOT技術(shù)大會

公眾號矩陣

移動端

視頻課免費(fèi)課排行榜短視頻直播課軟考學(xué)堂

全部課程軟考華為認(rèn)證廠商認(rèn)證 IT技術(shù)PMP項(xiàng)目管理免費(fèi)題庫

在線學(xué)習(xí)

文章資源問答課堂專欄直播

51CTO

鴻蒙開發(fā)者社區(qū)

51CTO技術(shù)棧

51CTO官微

51CTO學(xué)堂

51CTO博客

CTO訓(xùn)練營

鴻蒙開發(fā)者社區(qū)訂閱號

51CTO軟考

51CTO學(xué)堂APP

51CTO學(xué)堂企業(yè)版APP

鴻蒙開發(fā)者社區(qū)視頻號

51CTO軟考題庫

賬號設(shè)置退出

開發(fā)環(huán)境下如何進(jìn)行安全加固呢

作者：不良帥的江湖 2021-12-01 15:52:56

安全應(yīng)用安全

對很多互聯(lián)網(wǎng)公司而言開發(fā)一個應(yīng)用需要經(jīng)歷很多環(huán)節(jié)的測試，這個環(huán)節(jié)中不可缺少的就是多樣環(huán)境，像我們公司分為開發(fā)環(huán)境、測試環(huán)境、預(yù)發(fā)布環(huán)境、生產(chǎn)環(huán)境；其中開發(fā)和測試環(huán)境我們還是部署在公司機(jī)房內(nèi)，預(yù)發(fā)布和生產(chǎn)部署在阿里云。

由于公司機(jī)房和辦公環(huán)境是在一起的，默認(rèn)情況下公司出口IP是禁止80/443訪問【運(yùn)營商側(cè)有限制】。目前采用的是阿里云進(jìn)行中轉(zhuǎn)，即將開發(fā)環(huán)境的域名解析到阿里云，然后通過Nginx反向代理到公司出口非80端口。開發(fā)環(huán)境部分接口涉及到第三方回調(diào)和校驗(yàn)，所以完全禁止開發(fā)環(huán)境對外網(wǎng)訪問不現(xiàn)實(shí)。

目前合理的需求如下：

公司網(wǎng)絡(luò)地址段可以訪問開發(fā)環(huán)境不受限制
允許部分第三方IP地址段加入白名單
若第三方IP不固定，需支持第三方回調(diào)的URL加入白名單
不在上述條件內(nèi)全部禁止外網(wǎng)訪問。

面對上述簡單的需求場景，我們?nèi)绾螌?shí)現(xiàn)呢?

方案一：采用防火墻白名單策略進(jìn)行實(shí)現(xiàn)，目前看只能實(shí)現(xiàn) 1 和 2 的條件

方案二：采用Nginx的allow、deny等策略，目前看也只能實(shí)現(xiàn) 1 和 2 的條件

方案三：采用Nginx+Lua 通過access_by_lua_file策略，目前看能實(shí)現(xiàn)上述所有條件而且實(shí)現(xiàn)起來比較簡單，改造成本較小。

在Nginx的server層配置：access_by_lua_file 'scripts/filter_white.lua'
filter_white.lua 腳本配置信息：

root@develop:/usr/local/nginx/scripts# cat filter_white.lua  
-- 默認(rèn)配置 
local redis = require 'resty.redis' 
local allow = false 
 
-- 連接Redis 
local red = redis:new() 
local ok, err = red:connect('172.17.173.183', 26379) 
if not ok then 
    ngx.log(ngx.ERR, 'connect to redis failed: ' .. err) 
end 
 
local res, err = red:auth('Huajianghu@123') 
if not res then 
    ngx.log(ngx.ERR, 'failed to authenticate: ' .. err) 
end 
 
-- 過濾精確IP 
--if red:sismember('white:dev:ip', ngx.var.remote_addr) == 1 then 
--    allow = true 
--end 
 
-- 過濾IP地址段 
local iputils = require("resty.iputils") 
iputils.enable_lrucache() 
local white_ips =red:smembers('white:dev:ip') 
local whitelist = iputils.parse_cidrs(white_ips) 
if iputils.ip_in_cidrs(ngx.var.remote_addr, whitelist) then 
    allow = true 
end  
 
-- 過濾URL 
if not allow then 
        local url = ngx.var.http_host .. ngx.var.uri 
        local white_urls = red:smembers('white:dev:url') 
        for index, white_url in ipairs(white_urls) do 
                if url:match(white_url) then 
                        allow = true 
                        break 
                end 
        end 
end 
 
-- 默認(rèn)策略 
if not allow then 
    ngx.log(ngx.ERR, "not allow: " .. ngx.var.http_host .. ngx.var.uri) 
    ngx.status = ngx.HTTP_FORBIDDEN 
    ngx.say('請申請白名單') 
    ngx.exit(200) 
end

3.此腳本僅供參考使用，特殊場景需要進(jìn)行修改lua腳本。

責(zé)任編輯：華軒來源：今日頭條

安全開發(fā)測試

點(diǎn)贊

51CTO技術(shù)棧公眾號

業(yè)務(wù)
速覽

媒體

51CTO CIOAge HC3i

社區(qū)

51CTO博客鴻蒙開發(fā)者社區(qū) AI.x社區(qū)

教育

51CTO學(xué)堂精培企業(yè)培訓(xùn) CTO訓(xùn)練營

<style id="r4tj4"></style>