Nginx服务暂停后，直接访问域名加文件名时出现文件直接下载问题

晚上好🌙🌙🌙
本答案参考通义千问

当 Nginx 服务暂停 后，如果直接通过浏览器访问域名加文件名（例如 http://example.com/config.php），出现文件被直接下载或部分下载的情况，这通常与 Nginx 的配置有关。以下是详细分析和解决方案：

---

一、问题现象说明

• 当 Nginx 停止时，Web 服务器可能由其他服务（如 Apache 或 PHP-FPM）接管。
• 在这种情况下，PHP 文件（如 config.php）会被当作普通文本文件传输，导致浏览器直接下载而不是执行。
• 如果访问路径不正确（如 http://example.com/config.ph），服务器可能返回整个站点的文件结构，甚至打包成压缩包下载。

---

二、原因分析

1. Nginx 配置未正确处理 PHP 文件

   • 若 Nginx 没有将 .php 文件交给 PHP-FPM 处理，它会默认以 text/plain 类型发送，导致浏览器直接下载。

2. 错误的 MIME 类型配置

   • 如果 Nginx 没有正确识别 .php 文件的 MIME 类型，也会导致文件被误认为是纯文本。

3. URL 路径错误导致目录遍历

   • 如果访问路径不完整（如 config.ph），服务器可能会尝试查找匹配路径，从而暴露目录内容。

4. 没有限制对敏感文件的访问

   • 没有对 .php、.ini 等敏感文件进行访问控制，容易被恶意用户下载。

---

三、解决方案

1. 检查并修复 Nginx 的 PHP 处理配置

确保 Nginx 正确地将 .php 文件转发给 PHP-FPM。在 Nginx 的配置文件中（通常是 /etc/nginx/sites-available/your-site.conf 或 /etc/nginx/conf.d/your-site.conf），添加以下配置：

location ~ \.php$ {
    include snippets/fastcgi-php.conf;
    fastcgi_pass unix:/var/run/php/php-fpm.sock; # 根据你的 PHP 版本调整
    fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
    include fastcgi_params;
}

重点： 必须设置 SCRIPT_FILENAME，否则 PHP 文件无法正确解析。

---

2. 设置正确的 MIME 类型

确保 Nginx 正确识别 .php 文件的 MIME 类型。在 nginx.conf 或站点配置文件中加入：

types {
    text/html html htm shtml;
    text/css css;
    text/xml xml;
    application/x-httpd-php php;
}

重点： 确保 application/x-httpd-php 被定义为 .php 文件的 MIME 类型。

---

3. 防止目录列表和敏感文件泄露

防止用户通过访问不完整路径（如 config.ph）获取目录内容或敏感文件：

location / {
    try_files $uri $uri/ =404;
}

# 禁止访问 .htaccess 和 .git 目录
location ~ /\. {
    deny all;
}

# 禁止访问 .php 文件以外的文件
location ~* \.(php|phtml|php3|php4|php5|phps|inc)$ {
    if ($request_filename !~* \.php$) {
        return 403;
    }
}

重点： 这些规则可以防止用户访问到非 PHP 文件或敏感信息。

---

4. 修改 PHP-FPM 配置（可选）

如果你使用的是 PHP-FPM，可以在 php-fpm.conf 或 pool.d/www.conf 中添加：

security.limit_extensions = .php

重点： 限制只允许 .php 文件被处理，防止其他扩展名被误执行。

---

5. 测试并重启 Nginx

在修改完配置后，务必测试 Nginx 配置是否正确，并重启服务：

sudo nginx -t
sudo systemctl restart nginx

---

四、示例配置片段（完整参考）

server {
    listen 80;
    server_name example.com;

    root /var/www/html;
    index index.php index.html index.htm;

    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location ~ \.php$ {
        include snippets/fastcgi-php.conf;
        fastcgi_pass unix:/var/run/php/php-fpm.sock;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include fastcgi_params;
    }

    location ~ /\. {
        deny all;
    }

    location ~* \.(php|phtml|php3|php4|php5|phps|inc)$ {
        if ($request_filename !~* \.php$) {
            return 403;
        }
    }
}

---

五、总结

| 问题 | 解决方案 | |------|----------| | PHP 文件被下载 | 配置 Nginx 正确处理 .php 文件 | | MIME 类型错误 | 设置正确的 MIME 类型 | | 目录遍历漏洞 | 禁止访问隐藏文件和目录 | | 敏感文件泄露 | 限制对敏感文件的访问 |

建议： 定期检查 Nginx 和 PHP-FPM 的日志，及时发现潜在的安全风险。

如有需要，我可以提供你当前 Nginx 配置的分析和优化建议。请提供相关配置文件内容。