对于通常依赖htaccess的网络应用程序，NGINX安全吗？

Question

首先，你不需要让我相信NGINX是好的，我知道这一点，我想把它用于所有的网络项目。

前几天有人问我这个问题，但没有一个确切的答案，因为我没有仔细观察过那个具体的情况。

问题，阐述了

旧的和新的网络软件，如Drupal和Wordpress，提供了一些.htaccess-files，尽管有大量的例子可以通过简单的搜索获得nginx。

• 我如何向客户保证nginx分别对Drupal和Wordpress是安全的？
• nginx怎么能向外界透露，它能覆盖如此复杂的系统，并与apache+htaccess一样安全地保护它们呢？

我不需要完整的答案在这里，但链接到文章试图回答这个或类似的问题。

我想说服一些客户搬到nginx，以获得巨大的性能提升，但他们需要更多的证据，在安全方面，我通常依赖htaccess的系统。

Answer 1

什么是.htaccess文件？

它是对每个(适用的)请求进行动态解析的部分web服务器配置文件。它允许您在每个目录的基础上覆盖web服务器行为的某些方面，方法是在每个目录中添加配置片段。

从根本上说，它没有做一个中央配置文件不能做的事情，它只是分散了配置，并允许用户在不直接访问web服务器的情况下覆盖该配置。这在共享主机模型中被证明是非常有用和流行的，在这种模式中，主机不希望提供对web服务器配置的完全访问和/或这是不切实际的。

nginx基本上只使用一个配置文件，但您可以通过在include指令中包含其他配置文件来添加该配置文件，最终可以使用该配置文件模拟类似的系统。但是nginx的性能也是如此可笑，因为它没有在每个目录的基础上进行动态配置包含；这对Apache中的每个请求都是一个巨大的性能损耗。任何正常的Apache配置都将禁用.htaccess解析，以避免性能下降，此时它与nginx之间没有根本区别。

更根本的是:什么是web服务器？它是一个用特定HTTP响应来响应HTTP请求的程序。您得到的响应取决于您发送的请求。您可以将web服务器配置为根据大量变量向特定请求发送特定响应。Apache和nginx同样可以配置为以同样的方式响应请求。只要你这样做，行为就没有区别，因此“安全”也就没有了。