location / {    proxy_pass http://backend;    # 基本转发头（覆盖可能的伪造）    proxy_set_header Host $http_host;    proxy_set_header X-Real-IP $remote_addr;    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_set_header X-Forwarded-Proto $scheme;    proxy_set_header X-Forwarded-Port $server_port;    proxy_set_header X-Forwarded-Host $host;
    # WebSocket 支持    proxy_http_version 1.1;    proxy_set_header Upgrade $http_upgrade;    proxy_set_header Connection $http_connection; # 或用 map 如上
    # 超时/缓冲（根据业务调整）    proxy_connect_timeout 5s;    proxy_read_timeout 60s;    proxy_send_timeout 60s;    proxy_buffering off;
    # 代理重定向处理（视情况）    # proxy_redirect off;}

proxy_pass http://backend;

• 将匹配到的请求转发到名为 backend 的 upstream（或直接是一个上游地址）。

• 注意 proxy_pass 后面的 URI 行为：

• 若 proxy_pass http://backend;（没有尾随斜杠），Nginx 会把客户端请求的 URI 原样拼接并转发。

• 若写成 proxy_pass http://backend/;（有尾斜杠），会替换 location 前缀，行为略有不同——在 location / 时差别不大，但在 location /app/ 这样的情况要注意。

• backend 可以在 upstream 定义多个后端服务器，支持负载均衡、权重等。

proxy_set_header Host $host:$server_port;

• 作用：设置转发到后端的 Host 请求头。

• 变量解释：

• $host：客户端请求中 Host 字段（如果不存在，则为服务器名或主机名）。

• $server_port：nginx 当前监听的端口（即 Nginx 接收客户端请求时的端口）。

• 结果示例：客户端访问 example.com:8080 时，Host: example.com:8080 会被传给后端。

• 注意事项：

• 如果客户端原始 Host 已包含端口（例如 Host: example.com:8080），使用 $http_host 有时更直接（$http_host：包含客户端 Host 原始值，包括端口）。

• 对于标准端口（80/443），带上 :80 或 :443 通常不是必须，但某些后端逻辑依赖端口时带上也没问题。

• 另一常见写法：proxy_set_header Host $proxy_host; —— 把 upstream 名称或 proxy_pass 指定的 host 作为 Host 头。选择哪种看后端期望。

proxy_set_header X-Real-IP $remote_addr;

• 作用：把 X-Real-IP 设为直接连接到 nginx 的客户端 IP（$remote_addr）。

• 场景：后端想快速读取真实客户端 IP（单层代理下），可以直接用这个头。

• 注意：若有多层代理（client -> CDN -> nginx），$remote_addr 是连接到当前 nginx 的上游 IP（可能是 CDN），此时更可信的链式头是 X-Forwarded-For。

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

• 作用：设置 X-Forwarded-For 为一条由各代理累积的客户端 IP 列表。

• $proxy_add_x_forwarded_for 的行为：若上游已有 X-Forwarded-For，会在其后追加 , $remote_addr；否则设置为 $remote_addr。

• 这允许后端看到完整的代理链（例如 client-ip, proxy1-ip, proxy2-ip）。

• 推荐：在后端解析时取左侧第一个（最原始的客户端 IP），但需注意信任链（不要信任来自不受控网络的 X-Forwarded-For）。

proxy_set_header X-Forwarded-Proto $scheme;

• 作用：把请求协议（http 或 https）传给后端。

• $scheme 表示客户端与 nginx 之间的协议（如果 nginx 做 TLS 终结，$scheme = https）。

• 后端可以根据此头生成带 https 的回调 URL 或判断是否需要强制 https 转向。

proxy_set_header X-Forwarded-Port $server_port;

• 作用：把 nginx 接收到请求的端口传给后端（例如 80、443、8080）。

• 有些后端在构造绝对 URL 或做回调时需要知道外部端口（尤其当非标准端口被使用时）。

阅读原文：原文链接