Nginx 缓冲区加固:配置 client_header_buffer_size 防御畸形超长请求头引发的溢出攻击

作者:袖梨 2026-07-04
要防住畸形超长请求头溢出攻击,必须协同配置client_header_buffer_size和large_client_header_buffers:前者设为2k–4k作首道门禁,后者单buffer≥前者(如4 8k),并配client_header_timeout 5s、underscores_in_headers off等加固措施。

要真正防住畸形超长请求头溢出攻击,不能只调大 client_header_buffer_size,必须让它和 large_client_header_buffers 形成协同防御——前者是“第一道门禁”,后者才是“扩容通道”,两者不匹配,Nginx 会直接拒收请求并返回 400 错误。

理解两级缓冲机制的实际作用

Nginx 解析请求头时不是靠一块内存硬扛到底,而是分两步走:

  • client_header_buffer_size 是每个请求最先分配的那块小内存(默认仅 1KB),用来存请求行(如 GET /path HTTP/1.1)和前几行常规头(Host、User-Agent 等);
  • 当某一行头(比如整条 Cookie:Authorization:)超出这个大小,Nginx 就尝试启用 large_client_header_buffers 中的备用缓冲区;
  • 但如果后者的单个 buffer 大小 ≤ 前者,扩容逻辑压根不会触发,直接报错 request header or cookie too large

安全有效的参数组合原则

关键不是数值越大越好,而是让初始缓冲能覆盖主流合法流量,同时限制单次请求的最大资源占用:

  • client_header_buffer_size 推荐设为 2k 或 4k:够装下典型 JWT(约 1.2–2.5KB)、多域 Cookie 和基础追踪头;
  • large_client_header_buffers 必须同步设置,且单 buffer 大小 ≥ 前者,例如 4 8k(4 个缓冲,每个 8KB),总上限 32KB;
  • 严禁设为 64k1m:攻击者可构造单行超长头反复建连,快速耗尽 worker 进程堆内存;
  • 若业务确需支持更大头(如全链路埋点+多层透传),可设为 8 16k,但必须收紧 client_header_timeout 到 5–8 秒防慢速攻击。

配套加固不可省略

光调缓冲区只是基础,还需堵住其他攻击路径:

  • client_header_timeout 5s:防止攻击者逐字节发头字段,拖住连接不释放;
  • underscores_in_headers off:禁用下划线解析,避免 X_Api_Key 被误解析绕过鉴权;
  • 配合 if 判断 $request_uri 长度:对 URI 超过 8KB 的请求直接 return 414,不进缓冲区分配流程;
  • HTTP/2 场景必须额外加 http2_max_header_size 32khttp2_max_field_size 4k,否则配置无效。

配置位置与验证要点

全局防护优先放在 http 块中,确保所有 server 和 location 继承一致:

http {    client_header_buffer_size 4k;    large_client_header_buffers 4 8k;    client_header_timeout 5s;    underscores_in_headers off;}

修改后务必执行:

  • nginx -t 检查语法是否正确;
  • nginx -s reload 平滑重载,不中断服务;
  • 观察 error.log 是否仍有 request header or cookie too large 记录,确认生效。

相关文章

精彩推荐