配置 HTTP/HTTPS 网站时，Nginx 默认不严格校验 Host/SNI 字段。也就是说，假如我们只配置了 server_name 2dan.cc www.2dan.cc，但用户使用 IP 地址访问，仍然会访问到这个网站（server）；另外使用 https://IP 访问，再查看SSL证书，会泄露IP上绑定的域名。

解决：

一、配置默认 server

要解决问题很简单，我们用 default_server 设置默认服务器就行了。对于 HTTP 协议，可以这么写：

server {
    listen 80 default_server;
    return 444;
}

其中 444 是 Nginx 自定义的、非 HTTP 标准的状态码，表示关闭连接；写成 403 之类也没问题。server_name 省略不写。

HTTPS 类似，但需要 SSL 证书。可以用现成的证书，但其中会有域名等信息。如果介意，自签名一张就好。

要自签名证书，我们先生成私钥（任选其一）：

openssl genrsa -out /opt/self-signed.key 2048 # 2048 位 RSA
openssl ecparam -name secp384r1 -genkey -out /opt/self-signed.key # 384 位 ECC

然后根据私钥生成证书：

openssl req -new -x509 -days 3650 -key /opt/self-signed.key -out /opt/self-signed.crt -subj "/C=CN/ST=NULL/L=NULL/O=NULL/OU=NULL/CN=Please-enable-SNI"

其中 3650 是有效期天数，这里是 10 年。Please-enable-SNI 就是通用名称（Common Name），一般这里就是主域名，但我们自签名可以随便写，反正不受信任，也不需要被浏览器信任。

- 阅读剩余部分 -

一、升级Nginx

查看当前OpenSSL版本

openssl version

OpenSSL 1.0.2k-fips 26 Jan 2017

由于TLS1.3需要OpenSSL1.1.1及以上版本支持，如果版本过低，可参考升级OpenSSL版本

查看当前Nginx版本信息

/usr/local/nginx/sbin/nginx -V

nginx version: nginx/1.21.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC)
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --add-module=../nginx_mod_h264_streaming-2.2.7 --with-pcre=../pcre-8.43 --with-zlib=../zlib-1.2.11 --user=www --group=www --with-http_flv_module --with-http_stub_status_module --with-threads --with-http_ssl_module --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --with-http_v2_module --with-http_mp4_module --with-cc-opt=-O3

下载新版nginx、解压并进入解压后的目录

- 阅读剩余部分 -

ngx_waf是一款方便且高性能的ng­inx防火墙模块，功能齐全，「网络应用防火墙」的基本功能都有。安装方便，大多数情况下你可以直接下载使用预构建的模块。使用便捷，配置指令简单易懂。规则灵活，提供高级规则，将动作（如拦截或放行）和多个条件表达式组合起来。
Github项目地址：https://github.com/ADD-SP/ngx_waf

功能特性

兼容 ModSecurity。
SQL 注入防护。
XSS 攻击防护。
支持 IPV4 和 IPV6。
支持开启验证码(CAPTCHA)，支持hCaptcha、reCAPTCHAv2和reCAPTCHAv3。
支持识别友好爬虫(如 BaiduSpider)并自动放行(基于User-Agent和IP的识别)。
CC防御，超出限制后自动拉黑对应IP一段时间或者使用验证码做人机识别。
IP黑白名单，同时支持类似192.168.0.0/16和fe80::/10，即支持点分十进制和冒号十六进制表示法和网段划分。
POST 黑名单。
URL 黑白名单
查询字符串(Query String)黑名单。
UserAgent 黑名单。
Cookie 黑名单。
Referer 黑白名单。

- 阅读剩余部分 -

nginx版

PC ==>> 移动

if ($http_user_agent ~* (mobile|nokia|iphone|ipad|android|samsung|htc|blackberry)){rewrite ^/(.*)$ http://m.2dan.cc/$1 permanent;}

移动 ==>> PC

if ($http_user_agent !~* (mobile|nokia|iphone|ipad|android|samsung|htc|blackberry)){rewrite ^/(.*)$ http://www.2dan.cc.com/$1 permanent;}

js版

(function(){var ua=navigator.userAgent.toLowerCase();var bIsIpad=ua.match(/ipad/i)=="ipad";var bIsIphoneOs=ua.match(/iphone os/i)=="iphone os";var bIsAndroid=ua.match(/android/i)=="android";var bIsWM=ua.match(/windows mobile/i)=="windows mobile";
if(bIsIpad||bIsIphoneOs||bIsAndroid||bIsWM){}else{var url=window.location.href;url=url.replace("m","www");window.location.href=url}})();

location /phpmyadmin {
    allow all;
}
location / {
    return 444;
}