Nginx If - arosh/arosh.github.com GitHub Wiki

Nginx の設定ファイルは手続き型言語のように上から下に解釈されるわけではない。ほとんどの設定項目については意識しなくても問題ないのだが、if は非直感的な挙動をしがちである。 以下のように公式に「If は邪悪」とすら言われている。

https://www.nginx.com/resources/wiki/start/topics/depth/ifisevil/

そうは言っても if を使った複雑な制御はしばしば必要となってしまうことがある。ここでは非直感的な挙動を解釈可能にするための最小限の知識と、なるべく安全な if の取り扱い方法について述べる。

挙動を解釈するための知識

ngx_http_rewrite_module に含まれるものと if の組み合わせはだいたい期待通りに動く

if は ngx_http_rewrite_module に含まれる機能である。if 以外に含まれる機能である set, return, rewrite などを if の中に書いた場合はだいたい期待通りに動く。

たとえば以下の例を考えよう。

location /proxy {
    set $a 32;
    if ($a = 32) {
        set $a 56;
    }
    set $a 76;
    proxy_pass http://127.0.0.1:$server_port/$a;
}

How nginx "location if" works より

Nginx の設定が上から順に解釈されるわけではないと知っていると身構えてしまうが、if と組み合わせて使われている set は ngx_http_rewrite_module の仲間であり、まるで上から順に解釈されているかのように http://127.0.0.1:$server_port/76 に proxy される。

しかしながら If Is Evil では if の中に変なものを書いていなくても proxy_pass や try_files が動かなくなる例が紹介されており、油断はできない。

if が解釈されるタイミングは結構早い

Nginx の設定は上から順に解釈されるわけではなく、モジュールごとに決められた優先順位の順番で解釈される。そして ngx_http_rewrite_module の優先順位は結構早い。

たとえば以下の例を考えよう。

location /proxy {
    set $a 32;
    if ($a = 32) {
        set $a 56;
        echo "a = $a";
    }
    set $a 76;
    proxy_pass http://127.0.0.1:$server_port/$a;
}

How nginx "location if" works より

echo で出力される値は 56 ではなく 76 である。これは echo_nginx_module よりも ngx_http_rewrite_module のほうが優先順位が高いためである。まず set $a 32, set $a 56 が実行されたあと、echo "a = $a" は後回しにされて set $a 76 が実行される。echo "a = $a" が実行されるのはそのあとであるため、結果的に $a には 76 が入っている。

過去にやらかした実例としては以下のものがある。

location ... {
  auth_basic $host;
  auth_basic_user_file $document_root/.htpasswd;
  if (...) {
    return 301 ...;
  }
}

if 文の条件が満たされていた場合を考えよう。上から順に解釈されると考えた場合、まず Basic 認証が行われて、それから if 文の中のリダイレクトが解決されると思うかもしれない。しかしながら実際には Basic 認証なしでリダイレクトが解決される。これは ngx_http_auth_basic_module よりも ngx_http_rewrite_module のほうが優先順位が高いためである。

if はディレクティブのようなものを作る

Nginx の設定には、ドキュメントに "if and only if there are no" という記載のある設定項目が多数存在する。

Nginx どハマりどころ N 選

これは上位のディレクティブでの設定に加えて下位のディレクティブで設定を追加しようとすると上位のディレクティブでの設定が無かったことにされるというものである。上記の例では上位ディレクティブ (http) で設定した proxy_set_header が無かったことにされてしまっている。

if はディレクティブのようなものを作るということを知っていれば以下の例で add_header が両方とも実行されないことについて納得できるようになるだろう。

location /only-one-if {
    set $true 1;

    if ($true) {
        add_header X-First 1;
    }

    if ($true) {
        add_header X-Second 2;
    }

    return 204;
}

If Is Evil より

参考資料

• mod_rewriteをnginxに移植するコツはifを使わないコト！ - インフラエンジニアway - Powered by HEARTBEATS
• rewrite - nginx url rewriting: difference between break and last - Server Fault