Laravel Nginx配置详解与服务器设置方法

本文深入剖析了 Laravel 在 Nginx 环境下部署的核心配置要点，直击线上最常见的 404 错误与敏感文件泄露（如 `.env` 直接下载）两大痛点——根本原因在于 Nginx 的 `root` 必须严格指向 `public/` 目录而非项目根目录，并配合精准的 `try_files` 规则、`$realpath_root` 路径传递、HTTPS 头透传及静态资源安全缓存等关键设置；每一步都关乎安全性、路由正确性与性能稳定性，稍有偏差就会导致应用崩溃、信息泄露或资源加载失败，堪称 Laravel 生产部署不可绕过的权威配置指南。

直接把 Laravel 项目根目录设为 root，Nginx 就会暴露 .env、config/、app/ 等敏感路径，且所有路由 404——这不是 Laravel 没跑起来，是 Nginx 根本没走对入口。

root 必须指向 public 目录，不是项目根目录

这是绝大多数线上 404 和安全泄露的根源。Laravel 的唯一合法 Web 入口是 public/index.php，Nginx 必须从这里开始服务。

• root /var/www/myapp/public; ✅ 正确：静态资源可访问，index.php 是唯一 PHP 入口
• root /var/www/myapp; ❌ 错误：访问 https://yoursite.com/.env 会直接下载配置文件
• 若用符号链接部署（如 /var/www/current → /var/www/releases/20260421），确保 public 子目录是真实路径，或 Nginx 已启用 disable_symlinks off;

location / 块里必须有 try_files $uri $uri/ /index.php?$query_string

这行不是“可选优化”，而是 Laravel 路由生效的前提。漏掉它，Nginx 对任何非物理文件的请求（比如 /users）直接返回 404，根本不会转发给 index.php。

• 必须写成 try_files $uri $uri/ /index.php?$query_string;，$query_string 保证 GET 参数（如 ?page=2）不丢失
• 别用旧式写法 rewrite ^/(.*)$ /index.php?/$1 last;，Laravel 5.3+ 不依赖 PATH_INFO，反而容易触发双解析漏洞
• 如果部署在子路径（如 example.com/app/），root 仍指向 public，但需配合 alias + 调整 try_files 中的路径前缀，否则 index.php 找不到

location ~ \.php$ 块里 fastcgi_param SCRIPT_FILENAME 必须用 $realpath_root

用 $document_root 在符号链接场景下会拼出错误路径，导致 PHP-FPM 报 No input file specified 或加载错文件。

• 正确写法：fastcgi_param SCRIPT_FILENAME $realpath_root$fastcgi_script_name;
• 错误写法：fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
• 同时必须加 try_files $uri =404; 在该 location 内，防止恶意构造 /fake.php/xxx 绕过重写，直接执行任意 PHP 文件
• fastcgi_pass 地址要和你实际运行的 PHP-FPM socket 或端口一致，常见值：unix:/var/run/php/php8.1-fpm.sock 或 127.0.0.1:9000

静态资源要单独配 location，且防穿透 + 加缓存

不单独处理，Nginx 可能把 .js 请求也扔给 PHP-FPM，结果返回源码或 500；更糟的是，没加 try_files 会导致 /mix-manifest.json 这类文件 404。

• 推荐匹配方式：location ~* \.(js|css|png|jpg|gif|svg|woff2?)$，注意正则覆盖带 hash 的文件名（如 app.abc123.js）
• 块内必须含：try_files $uri =404;（防路径穿越） + expires 1y; + add_header Cache-Control "public, immutable";
• 该 location 块要放在 location / 之前，否则会被后者优先匹配并 fallback 到 index.php
• 若遇到 CSS/JS 404 但页面能渲染，检查是否开了 sendfile on; ——某些旧版系统权限异常时它会静默失败，临时关掉（sendfile off;）可验证

最容易被忽略的是 HTTPS 头透传：哪怕 Nginx 配了 SSL，url() 和 asset() 还是生成 http:// 链接，因为 Laravel 默认不信任反向代理头。必须在 server 块里加 fastcgi_param HTTPS on;，且 APP_URL 得是 https:// 开头，少一个斜杠或协议不一致，邮件里的重置链接就 404。

今天带大家了解了的相关知识，希望对你有所帮助；关于文章的技术知识我们会一点点深入介绍，欢迎大家关注golang学习网公众号，一起学习编程~