Laravel Octane 中 Nginx 配置的安全隐患与解决方案

在 Laravel Octane 项目中，当使用 FrankenPHP 作为服务器并通过 Nginx 作为反向代理时，存在一个潜在的安全风险：直接访问 public 目录下的 PHP 文件（如 frankenphp-worker.php）会导致源代码被下载而非执行。本文将深入分析这一问题的成因，并提供专业的安全配置建议。

问题本质分析

在标准的 Laravel 部署中，public 目录通常只包含前端资源和入口文件 index.php。然而在使用 FrankenPHP 时，会生成一个 frankenphp-worker.php 文件放置在 public 目录下。按照默认的 Nginx 配置，当用户直接访问该文件时，Nginx 会直接返回文件内容而非通过 PHP 解释器执行。

这种现象源于 Nginx 的配置逻辑：默认情况下，只有对 index.php 的请求会被转发到 Octane 服务处理，其他 .php 文件则按照静态文件处理。这违背了 PHP 应用的安全原则，即所有 PHP 文件都应通过解释器执行。

安全配置方案

针对这一问题，我们推荐以下两种专业解决方案：

方案一：禁止直接访问 PHP 文件

这是最安全的做法，通过 Nginx 配置阻止所有对 .php 文件的直接访问：

location = /index.php {
    try_files /not_exists @octane;
}

location ~ \.php$ {
    return 403;
}

这种配置的优势在于：

1. 完全杜绝了 PHP 源代码泄露的风险
2. 符合最小权限原则
3. 配置简单明了

方案二：正确处理所有 PHP 请求

如果需要支持其他 PHP 文件的执行，可以采用更复杂的配置：

location ~ \.php$ {
    include octane.conf;
    try_files $uri =404;
}

这种配置需要：

1. 将公共代理设置提取到单独文件（octane.conf）
2. 确保所有 PHP 请求都经过 Octane 处理
3. 增加了配置复杂度但保持了功能完整性

FrankenPHP 的特殊考量

FrankenPHP 的设计机制决定了它需要 frankenphp-worker.php 文件存在于公共目录。其工作原理是：

1. 当请求匹配运行中的 worker 时，使用该 worker 处理
2. 无匹配 worker 时，执行 PHP 脚本

虽然技术上可以将 worker 移出公共目录，但这需要复杂的配置调整，且可能影响 FrankenPHP 的正常工作流程。

最佳实践建议

基于专业安全考虑，我们推荐：

1. 优先采用方案一，禁止直接访问 PHP 文件
2. 保持 FrankenPHP 的默认文件位置不变
3. 考虑完全使用 Caddy 替代 Nginx（当使用 FrankenPHP 时）
4. 定期审查 public 目录下的文件，避免存放敏感 PHP 文件

通过以上措施，可以在保证应用功能完整性的同时，有效提升 Laravel Octane 应用的安全性。