Nginx配置Http响应头安全策略_nginx content-security-policy

于 2024-04-12 00:32:55 发布
阅读量1.2k 收藏 21
点赞数 22
分类专栏: 2024年程序员学习 文章标签: nginx http 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77116622/article/details/137658619
版权

| style-src | 控制CSS样式表的加载来源,防止加载恶意样式表。 |
| report-uri | 指定报告异常信息的URI,方便管理员及时发现和处理安全问题。 |
| upgrade-insecure-requests | 要求浏览器将所有HTTP请求升级为HTTPS请求,提高安全性。 |
| sandbox | 对页面中的某些元素进行限制,防止恶意代码对其进行操作。 |

注:以下是一些常见参数及其说明和示例。可以根据具体需求进行配置。

3.2default-src指令的参数、说明和示例
参数 说明 示例
self 允许加载同源的资源 default-src 'self';
* 允许加载任意来源的资源 default-src '*';
none 不允许加载任何资源,是最严格的设置 default-src 'none';
unsafe-inline 允许内联脚本和样式,但存在安全风险 default-src 'unsafe-inline';
unsafe-eval 允许使用eval()函数执行代码,存在安全风险 default-src 'unsafe-eval';
strict-dynamic 只允许动态生成脚本和样式,不允许内联脚本和样式 default-src 'strict-dynamic';
https: 只允许加载HTTPS资源 default-src 'https:';
data: 允许加载data:协议的资源,如文件上传等 default-src 'data:';

以下是一个示例(允许从同一域名加载资源):

server {
    listen 80;
    server_name example.com;

    location / {
        add_header Content-Security-Policy "default-src 'self';";
        # 其他配置...
    }
}
3.3connect-src指令的参数、说明和示例
参数 说明 示例
self 允许加载同源的资源 connect-src 'self';
* 允许加载任意来源的资源 connect-src '*';
none 不允许加载任何资源,是最严格的设置 connect-src 'none';
report-sample 要求浏览器报告所有连接请求的样本,用于调试和分析 connect-src 'report-sample';
unsafe-inline 允许内联脚本和样式,但存在安全风险 connect-src 'unsafe-inline';
unsafe-eval 允许使用eval()函数执行代码,存在安全风险 connect-src 'unsafe-eval';
strict-dynamic 只允许动态生成脚本和样式,不允许内联脚本和样式 connect-src 'strict-dynamic';
https: 只允许加载HTTPS资源 connect-src 'https:';
data: 允许加载data:协议的资源,如文件上传等 connect-src 'data:';

以下是一个示例(允许从 example.com 的 API 加载资源):

server {
    listen 80;
    server_name example.com;

    location / {
        add_header Content-Security-Policy "connect-src 'self' https://api.example.com;";
        # 其他配置...
    }
}
3.4font-src指令的参数、说明和示例
参数 说明 示例
self 允许加载同源的资源 font-src 'self';
* 允许加载任意来源的资源 font-src '*';
none 不允许加载任何资源,是最严格的设置 font-src 'none';
data: 允许加载data:协议的资源,如文件上传等 font-src 'data:';
https: 只允许加载HTTPS资源 font-src 'https:';
report-sample 要求浏览器报告所有字体请求的样本,用于调试和分析 font-src 'report-sample';

以下是一个示例(允许从 Google 字体 API 加载字体资源):

server {
    listen 80;
    server_name example.com;

    location / {
        add_header Content-Security-Policy "font-src 'self' https://fonts.googleapis.com;";
        # 其他配置...
    }
}
3.5form-src指令的参数、说明和示例
参数 说明 示例
self 允许表单提交到同源的URL form-action 'self';
* 允许表单提交到任意URL form-action '*';
none 不允许表单提交,是最严格的设置 form-action 'none';
report-sample 要求浏览器报告所有表单提交的样本,用于调试和分析 form-action 'report-sample';

以下是一个示例(允许从同一域名加载表单资源):

server {
    listen 80;
    server_name example.com;

    location / {
        add_header Content-Security-Policy "form-src 'self' https://example.com/forms;";
        # 其他配置...
    }
}
3.6frame-ancestors指令的参数、说明和示例
参数 说明 示例
self 允许嵌套的frame或iframe加载同源的资源 frame-ancestors 'self';
* 允许嵌套的frame或iframe加载任意来源的资源 frame-ancestors '*';
none 不允许嵌套的frame或iframe加载任何资源,是最严格的设置 frame-ancestors 'none';
report-sample 要求浏览器报告所有嵌套的frame或iframe的来源样本,用于调试和分析 frame-ancestors 'report-sample';

以下是一个示例(禁止任何框架嵌套):

server {
    listen 80;
    server_name example.com;

    location / {
        add_header Content-Security-Policy "frame-ancestors 'none';";
        # 其他配置...
    }
}
3.7frame-src指令的参数、说明和示例
参数 说明 示例
self 允许嵌套的frame或iframe加载同源的资源 frame-src 'self';
* 允许嵌套的frame或iframe加载任意来源的资源 frame-src '*';
none 不允许嵌套的frame或iframe加载任何资源,是最严格的设置 frame-src 'none';
report-sample 要求浏览器报告所有嵌套的frame或iframe的来源样本,用于调试和分析 frame-src 'report-sample';
https: 只允许嵌套的frame或iframe加载HTTPS资源 frame-src 'https:';
data: 允许嵌套的frame或iframe加载data:协议的资源,如文件上传等 frame-src 'data:';

以下是一个示例(允许从同一域名加载框架资源

最低0.47元/天 解锁文章
2301_77116622
关注
  • 22
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在Nginx配置HTTP安全响应
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
安全响应(一)Content-Security-Policy_add_header content-security-policy
QAZZHONGYI的博客
04-06 1127
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
安全响应(一)Content-Security-Policy
wzj_110的博客
04-17 3644
default-src指令。
Nginx配置Http响应安全策略_nginx content-security-policy(2)
最新发布
m0_58269520的博客
04-08 1081
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
HTTP 安全响应Security Response header)配置手册
sysin | SYStem INside
12-09 9679
HTTP 安全响应Security Response header)配置手册
【宝塔nginx 反向代理校验请求内容】
u011334211的博客
08-05 321
nginx配置一下请求固定token校验。
Nginx 解决内容安全策略CSP(Content-Security-Policy配置方式
ideal-lingyun
09-24 3857
Nginx 解决内容安全策略CSP(Content-Security-Policy配置方式
ngx_security_headers:NGINX模块,用于发送安全
05-05
ngx_security_headers 此NGINX模块以正确的方式(c)添加了安全,并删除了不安全的标。概要http { security_headers on; ...} 运行curl -IL https://example.com/将产生添加的安全: ...
nginx-1.19.6_nginx-http-flv-module(64位)
11-27
适用于windows,于2020年11月27日编译,已编译nginx-http-flv-module直播推流模块,感谢@winshining在github上的开源项目。
nginx_tcp_proxy_module-master.zip
12-02
nginx_tcp_proxy_module-master.zip
nginx-1.21.1_nginx-http-flv-module
06-23
windows版,2021年6月23日编译,已编译nginx-http-flv-module直播推流模块
nginx-1.19.3_nginx-http-flv-module.rar
09-01
基于nginx1.19.3版本,已编译好nginx-http-flv-module,开箱即用。鄙视那些收C币的。
nginx配置相关策略Content-Security-Policy、Referrer-policy
热门推荐
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-Policy、Referrer-policy
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx配置安全策略总结
智慧,不是知识、不是经验、不是思辩,而是超越自我中心的态度。
09-27 4293
基于AppScan安全扫描工具检测出来的服务器安全隐患,通过nginx负载的配置总结。
nginx add_header Content-Security-Policy upgrade-insecure-requests;
qq_44962014的博客
07-21 5316
nginx http请求无法加载css样式 配置nginx后,发现http请求无法加载css样式,查看请求Headers,发现请求的css样式时是https的, add_header Content-Security-Policy upgrade-insecure-requests; 此参数会将http请求升级为https ...
nginxHTTP响应中添加Content-Security-Policy
11-16
可以通过修改nginx配置文件,在HTTP响应中添加Content-Security-Policy。具体步骤如下: 1. 打开nginx配置文件,一般在/etc/nginx/nginx.conf中。 2. 在http块中添加以下内容: ```nginx add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src 'self' data:; style-src 'self' 'unsafe-inline';"; ``` 其中,Content-Security-Policy的值是一个策略集,用于指定允许加载哪些资源。上述策略集中,default-src 'self'表示默认只允许加载同源资源,script-src 'self' 'unsafe-inline' 'unsafe-eval'表示允许加载同源脚本、内联脚本和eval脚本,img-src 'self' data:表示允许加载同源图片和data URL图片,style-src 'self' 'unsafe-inline'表示允许加载同源样式和内联样式。 3. 保存配置文件并重启nginx服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值