Come dividere la configurazione nginx su più righe?

13

Soprattutto quando si configura l' intestazione HPKP (o altre intestazioni lunghe in generale) sarebbe utile dividere una riga in una configurazione nginx su più righe.

Questo è il risultato desiderato:

pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg=";
pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec="; 
pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg="; 
pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg="; 
pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo="; 
pin-sha256="/oCVQg3nP3DroGpFdAbaiYzenycUftqrH3LAyaIal2g=";

Tuttavia, per il browser dovrebbe essere solo una riga:

pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg="; pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec="; pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg="; pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg="; pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo="; pin-sha256="/oCVQg3nP3DroGpFdAbaiYzenycUftqrH3LAyaIal2g=";

Quindi ho provato alcune cose, ma non sono soddisfatto dei risultati ...

Primo tentativo: basta dividerlo

add_header Public-Key-Pins '
pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg=";
pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec=";
pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg=";
pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg=";
pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo=";
pin-sha256="/oCVQg3nP3DroGpFdAbaiYzenycUftqrH3LAyaIal2g=";
'

Funziona, ma con curlposso vedere che il browser riceve l'intestazione con tutte le interruzioni di riga ...

Secondo tentativo: barra rovesciata

In realtà nell'articolo già collegato Scott Helme raccomanda questo:

add_header Public-Key-Pins ' \
pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg="; \
pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec="; \
pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg="; \
pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg="; \
pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo="; \
pin-sha256="/oCVQg3nP3DroGpFdAbaiYzenycUftqrH3LAyaIal2g="; \
'

Tuttavia nel mio caso questo ha appena aggiunto le barre e le ha anche restituite al browser, quindi non funziona.

Quindi come posso farlo?

indennità

Naturalmente i commenti per ogni riga sarebbero un'aggiunta fantastica:

pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg="; # current ECDSA
pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec="; # current RSA (nginx 1.11.0)
pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg="; # backup ECDSA 1
pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg="; # backup ECDSA 2
pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo="; # backup RSA 1
pin-sha256="/oCVQg3nP3DroGpFdAbaiYzenycUftqrH3LAyaIal2g="; # backup RSA 2
nginx  configuration 
rugk
fonte
1
Potresti usare il modulo Lua o Perl?
Alexey Ten
Che cosa? Come posso fare ciò? Ma a parte questo, preferisco una soluzione per questo direttamente nel file di configurazione di nginx. Voglio dire, non è una richiesta così straordinaria essere in grado di usare più righe per una direttiva di configurazione ... almeno questo è quello che ho pensato.
rugk,
Questo potrebbe essere ancora nel tuo file di configurazione. È solo una domanda se nginx è compilato con uno di questi moduli abilitato.
Alexey Ten,
Attualmente non è compilato con questi moduli (a meno che non siano nel set predefinito di moduli compilato da nginx), ma potrei certamente compilare una versione con tale modulo ... Se aiuta a risolvere questo "problema".
Rugk

Risposte:

8

Potrebbe essere necessario considerare l'annidamento variabile che avrà un aspetto simile al seguente:

set $PKP '';
set $PKP '${PKP}pin-sha256="X3pGTSOuJeEVw989IJ/cEtXUEmy52zs1TZQrU06KUKg=";'; # current ECDSA
set $PKP '${PKP}pin-sha256="MHJYVThihUrJcxW6wcqyOISTXIsInsdj3xK8QrZbHec=";'; # current RSA (nginx 1.11.0)
set $PKP '${PKP}pin-sha256="isi41AizREkLvvft0IRW4u3XMFR2Yg7bvrF7padyCJg=";';  # Backup ECDSA 1
set $PKP '${PKP}pin-sha256="I/bAACUzdYEFNw2ZKRaypOyYvvOtqBzg21g9a5WVClg=";';  # Backup ECDSA 2
set $PKP '${PKP}pin-sha256="Y4/Gxyck5JLLnC/zWHtSHfNljuMbOJi6dRQuRJTgYdo=";'; # backup RSA 1
set $PKP '${PKP}pin-sha256="/oCVQg3nP3DroGpFdAbaiYzenycUftqrH3LAyaIal2g=";';  # Backup RSA 2

add_header Public-Key-Pins $PKP;
BlackHOST
fonte
Questa è davvero una buona idea e funziona. È più una soluzione alternativa, ma è sicuramente un modo per farlo.
Rugk,
quando l'ho messo nel server {} ho ottenuto: nginx: [emerg] "s"
inatteso
0

la ;è il separatore

in modo da poter mettere le cose su più righe, basta terminare l'ultima riga solo con il ;

MRE
fonte
Questo è quello che ho provato First try: Just split itse lo capisco correttamente. Il problema era che il client riceveva l'intestazione con tutte le interruzioni di riga.
Rugk,
allora la tua unica speranza è mettere tutto su una linea. lascia che il tuo editore se lo preoccupa
MrE
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.