要防住畸形超长请求头溢出攻击,必须协同配置client_header_buffer_size和large_client_header_buffers:前者设为2k–4k作首道门禁,后者单buffer≥前者(如4 8k),并配client_header_timeout 5s、underscores_in_headers off等加固措施。
要真正防住畸形超长请求头溢出攻击,不能只调大 client_header_buffer_size,必须让它和 large_client_header_buffers 形成协同防御——前者是“第一道门禁”,后者才是“扩容通道”,两者不匹配,Nginx 会直接拒收请求并返回 400 错误。
Nginx 解析请求头时不是靠一块内存硬扛到底,而是分两步走:
GET /path HTTP/1.1)和前几行常规头(Host、User-Agent 等);Cookie: 或 Authorization:)超出这个大小,Nginx 就尝试启用 large_client_header_buffers 中的备用缓冲区;request header or cookie too large。关键不是数值越大越好,而是让初始缓冲能覆盖主流合法流量,同时限制单次请求的最大资源占用:
client_header_buffer_size 推荐设为 2k 或 4k:够装下典型 JWT(约 1.2–2.5KB)、多域 Cookie 和基础追踪头;large_client_header_buffers 必须同步设置,且单 buffer 大小 ≥ 前者,例如 4 8k(4 个缓冲,每个 8KB),总上限 32KB;64k 或 1m:攻击者可构造单行超长头反复建连,快速耗尽 worker 进程堆内存;8 16k,但必须收紧 client_header_timeout 到 5–8 秒防慢速攻击。光调缓冲区只是基础,还需堵住其他攻击路径:
X_Api_Key 被误解析绕过鉴权;return 414,不进缓冲区分配流程;http2_max_header_size 32k 和 http2_max_field_size 4k,否则配置无效。全局防护优先放在 http 块中,确保所有 server 和 location 继承一致:
http { client_header_buffer_size 4k; large_client_header_buffers 4 8k; client_header_timeout 5s; underscores_in_headers off;}
修改后务必执行:
nginx -t 检查语法是否正确;nginx -s reload 平滑重载,不中断服务;request header or cookie too large 记录,确认生效。