nginx 配置 laravel 必须将 root 设为 public 目录,否则暴露敏感文件;需正确配置 try_files、fastcgi_param script_filename 用 $realpath_root、禁止访问 .env 等文件、透传 https 头、处理静态资源 404 及 open_basedir 限制。
nginx 配置 Laravel 项目根目录必须指向 public 目录
直接把 Laravel 项目整个目录设为 root,会导致 .env、app/、config/ 等敏感文件被 Web 服务器直接暴露——这不是权限问题,是路径配置错误本身带来的安全风险。
-
root必须设为/var/www/myapp/public,不是/var/www/myapp - 如果用
alias替代root(比如子路径部署),需额外处理index和try_files,容易漏掉index.php回退逻辑 - Laravel 的入口统一由
public/index.php控制,Nginx 不经过它就无法触发自动加载、中间件、路由分发
rewrite 规则不能只写 try_files $uri $uri/ /index.php?$query_string
这行看似标准的规则,在 Laravel 中实际不够用——它没覆盖 PHP-FPM 的 fastcgi 参数传递,也没处理 URL 中带点号(.)或波浪线(~)的请求,线上常因此返回 404 或 500。
- 必须配合
location ~ \.php$块,且里面要显式设置fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name(不是$document_root) - 推荐用
realpath_root而非document_root,避免符号链接导致的路径解析错乱 - 加一行
location ~ /\.(env|git|htaccess) { deny all; },防源码泄露
启用 HTTPS 后 url() 和 asset() 生成 HTTP 链接
这不是 Laravel 配置错了,是 Nginx 没把 TLS 终止信息透传给 PHP。Laravel 默认不信任反向代理头,会按原始请求协议生成 URL。
- 在 Nginx 的
server块里加:fastcgi_param HTTPS on;(仅限 HTTPS server 块) - 同时确保
APP_URL在.env中以https://开头,否则route()生成的绝对 URL 仍可能出错 - 若用 Cloudflare 或其他 CDN,需加
fastcgi_param HTTP_X_FORWARDED_PROTO $scheme;并在 Laravel 中启用TrustProxies中间件
静态资源 404 但 PHP 路由正常?检查 sendfile 和 gzip 冲突
常见于上线后 CSS/JS 加载失败,控制台报 404,但页面能渲染、API 能调通。本质是 Nginx 尝试用 sendfile 直接返回文件,却因权限或路径映射失败静默跳过,最终 fallback 到 PHP 处理——而 PHP 又没注册这些扩展名的路由,于是 404。
- 临时验证:在
location ~* \.(js|css|png|jpg|gif)$块中加sendfile off;,看是否恢复 - 更稳妥的做法是显式声明
expires 1y;+add_header Cache-Control "public, immutable";,并确保该 location 块内有try_files $uri =404; - 禁用
gzip_vary on;(除非你真需要按 Accept-Encoding 动态压缩),它在某些旧版 Nginx + PHP-FPM 组合下会干扰静态文件响应头
最易被忽略的是 open_basedir 限制和 realpath_root 的配合——哪怕路径全对,PHP 一旦开启 open_basedir,而 realpath_root 没同步更新,就会在 require 自动加载文件时卡住,错误日志里只显示“failed to open stream”,连具体文件都看不到。
