首页 > 系统相关 >Nginx 安全的配置项

Nginx 安全的配置项

时间:2023-08-11 15:34:36浏览次数:46  
标签:浏览器 响应 always 配置 header Nginx add 安全 Options

1 漏扫出现的问题

1.1 检测到目标X-Content-Type-Options响应头缺失

修复方法:

nginx 增加响应头配置:

add_header X-Content-Type-Options "nosniff"  always; 

详细解释:

X-Content-Type-Options头信息是一种安全策略,用于防止浏览器在解析响应内容类型时执行MIME类型嗅探。MIME类型嗅探是一种浏览器行为,它会在某些情况下忽略服务器返回的Content-Type头信息,而是根据文件内容推断出MIME类型。这种行为可能会导致安全问题,例如在解析HTML页面时执行脚本或渲染嵌入式内容。

 将X-Content-Type-Options的值设置为"nosniff"可以禁用浏览器的MIME类型嗅探功能,强制浏览器遵循服务器返回的Content-Type头信息。这可以提高Web应用程序的安全性,防止恶意站点通过MIME类型嗅探获取用户的敏感信息。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.2 检测到目标X-XSS-Protection响应头缺失

修复方法:

nginx 增加响应头配置:

add_header X-XSS-Protection "1; mode=block"  always;

详细解释:

X-XSS-Protection头信息是一种安全策略,用于防止跨站脚本攻击(XSS)的发生。当浏览器收到包含X-XSS-Protection头信息的HTTP响应时,如果检测到潜在的XSS攻击,浏览器会自动阻止页面的渲染,并显示一个警告页面或重定向到其他页面,从而保护用户的安全。

 将X-XSS-Protection的值设置为"1; mode=block"可以启用浏览器的内置XSS防护机制,并阻止页面渲染,从而防止潜在的XSS攻击。"1"表示启用XSS防护机制,"mode=block"表示如果检测到潜在的XSS攻击,浏览器会阻止页面渲染。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.3  检测到目标Content-Security-Policy响应头缺失

修复方法:

nginx 增加响应头配置:

add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval'"     always; 

详细解释:

Content-Security-Policy头信息是一种安全策略,用于限制页面中可以加载的资源,从而有效地减少恶意攻击的风险。CSP策略指定了允许加载的资源的源,包括脚本、样式、图片、字体、媒体和其他资源。当浏览器收到包含Content-Security-Policy头信息的HTTP响应时,会根据CSP策略限制页面加载的资源。

 将Content-Security-Policy的值设置为"script-src 'self' 'unsafe-inline' 'unsafe-eval'"表示允许页面加载与当前页面同源的脚本,以及内联脚本和eval函数的使用。这可以确保页面加载的脚本都是可信的,并限制了注入恶意脚本的可能性。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.4 检测到目标Referrer-Policy响应头缺失

修复方法:

nginx 增加响应头配置:

add_header Referrer-Policy "origin" always;

详细解释:

 Referrer-Policy头信息是一种安全策略,用于控制浏览器在发送Referer HTTP头信息时包含哪些信息。当Referrer-Policy的值为"origin"时,浏览器会在HTTP请求头信息中包含当前请求的页面来源的完整URL,但不包括具体的路径和查询参数。例如,如果当前请求的页面URL为https://example.com/path/to/page,那么浏览器会在Referer HTTP头信息中包含https://example.com,但不包括路径和查询参数。

 使用Referrer-Policy头信息可以提高Web应用程序的安全性,防止恶意站点通过Referer HTTP头信息获取用户的敏感信息。将Referrer-Policy的值设置为"origin"可以在一定程度上保护用户的隐私,同时又不影响Web应用程序的正常功能。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.5 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失

修复方法:

nginx 增加响应头配置:

add_header X-Permitted-Cross-Domain-Policies  "master-only" always;

详细解释:

X-Permitted-Cross-Domain-Policies头信息是一种安全策略,用于控制其他域名可以如何使用当前域名的资源。当浏览器收到包含X-Permitted-Cross-Domain-Policies头信息的HTTP响应时,会根据该头信息的值来限制其他域名对当前域名资源的访问。

 将X-Permitted-Cross-Domain-Policies的值设置为"master-only"表示只允许当前域名的主站点使用该站点的资源,其他域名不允许使用。这可以有效地限制其他域名对当前域名的资源的访问,从而提高Web应用程序的安全性。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.6 检测到目标X-Download-Options响应头缺失

修复方法:

nginx 增加响应头配置:

add_header X-Download-Options "noopen" always;

详细解释:

X-Download-Options头信息是一种安全策略,用于控制浏览器如何处理文件下载。当浏览器收到包含X-Download-Options头信息的HTTP响应时,如果该头信息的值为"noopen",表示浏览器不应该自动打开文件,而是应该将文件保存到本地。

 将X-Download-Options的值设置为"noopen"可以有效地防止文件被自动打开,从而提高Web应用程序的安全性。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.7 点击劫持:X-Frame-Options未配置

修复方法:

nginx 增加响应头配置:

add_header X-Frame-Options "sameorigin" always;

详细解释:

X-Frame-Options头信息是一种安全策略,用于控制页面是否可以在iframe中嵌入。当浏览器收到包含X-Frame-Options头信息的HTTP响应时,会根据该头信息的值来判断是否允许页面在iframe中嵌入。

 将X-Frame-Options的值设置为"sameorigin"表示只允许页面在与当前页面同源的iframe中嵌入,而不允许在其他域名的iframe中嵌入。这可以有效地防止点击劫持等安全问题。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

1.8 检测到目标Strict-Transport-Security响应头缺失

修复方法:

nginx 增加响应头配置:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" always;

详细解释:

STS是一种安全协议,用于保护Web应用程序免受SSL/TLS剥离攻击。当浏览器收到包含STS头信息的HTTPS响应时,会将该网站的所有后续请求都强制使用HTTPS协议,从而提高连接的安全性。

 将Strict-Transport-Security的值设置为"max-age=63072000; includeSubdomains; preload"表示启用STS,并将其最长有效期设置为两年(63072000秒),同时包括所有子域名(includeSubdomains)和预加载(preload)。

添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。


server {
        listen        8080;
        server_name  *.demo.com;
        root   "/www/demo";
        location / {
            index index.php index.html error/index.html;
            error_page 400 /error/400.html;
            autoindex  off;
        }
        add_header Referrer-Policy "origin" always;
		add_header X-Content-Type-Options "nosniff" always;
		add_header X-XSS-Protection "1; mode=block" always;
		add_header Content-Security-Policy "script-src 'self' 'unsafe-inline' 'unsafe-eval'" always;
		add_header X-Permitted-Cross-Domain-Policies  "master-only" always;
		add_header X-Download-Options "noopen" always;
		add_header X-Frame-Options "sameorigin" always;
		add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" always;
	}

 

标签:浏览器,响应,always,配置,header,Nginx,add,安全,Options
From: https://www.cnblogs.com/hi-eric/p/17623117.html

相关文章

  • IDEA 配置桌面快捷方式
    IDEA配置桌面快捷方式目录IDEA配置桌面快捷方式1.下载idea.tar解压2.配置快捷方式3.为什么要存放在这个目录?1.下载idea.tar解压tarxfideaIC-2023.2.tar.gz-C/opt2.配置快捷方式[root@localhostapplications]#vimIEDA.desktop[root@localhostapplications]#ll总......
  • 借助PageSpeed,为Nginx网站服务器提速
    网站加载速度越快,访客互动性、留住率和转换率就越高,这早已不是什么秘密。网站每延迟100毫秒,亚马逊的销售额就会减少1%;延迟增加500毫秒,这意味着谷歌的流量和收入就会减少20%。要是有一个办法可以为你的网站服务器提速,又不必升级到功能更强大的服务器,就没有理由不试一试这个办法。......
  • openresty(nginx)、lua、drizzle测试
    一、概述:1.研究目标:nginx中使用lua脚本,及nginx直接访问mysql,redis2.需要安装的内容:openresty,mysql,redis3.OpenResty(也称为ngx_openresty)是一个全功能的Web应用服务器。它打包了标准的Nginx核心,很多的常用的第三方模块,以及它们的大多数依赖项。http://openresty.org/cn/ind......
  • nginx or apache前端禁收录,爬虫,抓取
    一、Nginx规则直接在server 中新增如下规则即可:##################################################禁止蜘蛛抓取动态或指定页面规则By##################################################server{listen80;server_namezhangge.net;indexindex.htmlindex.......
  • #yyds干货盘点#nginx中fastcgi_params文件及相应配置
    在ubuntu服务器安装完php7.4-fdm和nginx后,发现fastcgi_params没有生成,也可能是二次安装的关系。所以临时去网上找了个手工建上。特意在这里记录下,避免下次再遇到同样的问题。#脚本文件请求的路径,也就是说当访问127.0.0.1/index.php的时候,需要读取网站根目录下面的index.php文件,如......
  • 代理IP在网络安全起到的作用
    1.隐藏真实IP地址:代理IP可以用于隐藏用户的真实IP地址,从而保护用户的隐私。在用户与目标服务器之间建立代理连接后,目标服务器无法直接获取到用户的真实IP,从而降低了用户被定位、追踪或攻击的风险。2.绕过访问限制:有些网站或服务可能对特定IP地址或地理位置进行访问限制,导致用户无......
  • centos7 sersync 4台服务器数据互相同步配置
    4台服务器安装rsync并配置#安装yuminstallrsync-y#配置vim/etc/rsyncd.confuid=rootgid=rootusechroot=nohostsallow=*maxconnections=3pidfile=/var/run/rsyncd.pidlockfile=/var/run/rsync.lock[record]path=/record/comment=record......
  • centos7.X安装nginx – 东凭渭水流
    1.安装nginx需要使用root用户2.配置nginx源 rpm-ivhhttp://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0.el7.ngx.noarch.rpm #运行如下 [root@localhost~]#rpm-ivhhttp://nginx.org/packages/centos/7/noarch/RPMS/nginx-release-centos-7-0......
  • Socks5代理:跨界电商战略中的数据抓取利器与网络安全守护者
    一、Socks5代理简介与工作原理Socks5代理(SK5代理)是一种升级版的IP代理,采用SOCKS5协议。相比传统IP代理,Socks5代理支持TCP和UDP协议,具备更高的性能和安全性。Socks5代理的工作原理:当用户请求访问目标服务器时,请求首先经由Socks5代理服务器转发,代理服务器隐藏了用户真实IP地址,并将请......
  • Maven配置私有库
    一、仓库仓库类型:本地仓库、远程中央仓库、公司自己搭建的私有仓库寻找jar的基本优先级顺序:本地仓库>settings.xml的profile的仓库>pom.xml的profile的仓库>pom.xml的仓库>中央仓库设置仓库的方式有两种,一种是在项目最顶级POM.xml中设置,另一种是在settings.xml中设置。......