nginx安全配置

最新推荐文章于 2024-04-24 03:00:00 发布
最新推荐文章于 2024-04-24 03:00:00 发布
阅读量743 收藏 1
点赞数
分类专栏: 个人 文章标签: nginx
原文链接:https://www.cnblogs.com/oneapm/p/5168793.html
版权

server_tokens
禁止nginx在返回报文中显示版本信息,具体版本会暴露bug
server_tokens off;

X-Frame-Options
该响应头用于是否允许浏览器加载frame、iframe、object等属性,可以使用该功能避免点击劫持
add_header X-Frame-Options “SAMEORIGIN”;

该指令用三个可用的配置
X-Frame-Options: DENY
X-Frame-Options: SAMEORIGIN
X-Frame-Options: ALLOW-FROM https://example.com/
当设置为 DENY 时,站点禁止任何页面被嵌入。
当设置为 SAMEORIGIN 时,只允许加载同源的 fram/iframe/object。
当设置为 ALLOW-FROM 时,只允许加载指定的源。

X-Content-Type-Options
在通常的请求相应中,浏览器会根据http相应的Content-Type来分辨相应的类型,如text/html代表html文档,但当相应未指定或者错误指定时,浏览器会尝试启用MIME-sniffing来猜测资源的额响应类型。

攻击方式:
如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的 HTML 和 JavaScript 代码。由于未关闭资源的类型猜测,浏览器将直接执行嵌入的 JavaScript 代码,而不是显示图片。

add_header X-Content-Type-Options nosniff;

用来指定浏览器对未指定或错误指定 Content-Type 资源真正类型的猜测行为,nosniff 表示不允许任何猜测。
这个响应头的值只能是 nosniff,可用于 IE8+ 和 Chrome。

X-XSS-Protection
add_header X-XSS-Protection “1; mode=block”;
该响应头是用于防范及过滤xss的,可用的指令如下:
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=
具体说明:
0,禁用 XSS 过滤
1,开启 XSS 过滤
1; mode=block,开启 XSS 过滤,并且若检查到 XSS 攻击,停止渲染页面。
X-XSS-Protection: 1; report=,开启 XSS 过滤,并且若检查到 XSS 攻击,将使用指导的 url 来发送报告。

Content-Security-Policy
该响应头主要用于规定页面可以加载那些资源(css/js/img等)
定义所有资源文件的默认加载规则为self,表示允许
相同来源的内容(相同的协议、域名和端口)
add_header Content-Security-Policy: default-src ‘self’;
更多 Content-Security-Policy 的指令及规则及介绍可参考 Jerry Qu 的 Content Security Policy 介绍

Strict-Transport-Security
Strict-Transport-Security,简称 HSTS。该响应头用于标识浏览器用 HTTPS 替代 HTTP 的方式去访问目标站点。
我们知道 HTTPS 相对于 HTTP 有更好的安全性,而很多 HTTPS 网站,也可以通过 HTTP 来访问。开发人员的失误或者用户主动输入地址,都有可能导致用户以 HTTP 访问网站,降低了安全性。一般,我们会通过 Web Server 发送 301/302 重定向来解决这个问题。 (Jerry Qu)
add_header strict-transport-security: max-age=16070400; includeSubDomains;
当用户第一次访问后,将返回一个包含了 strict-transport-security 响应头的字段。他将告诉浏览器,在接下来的 16070400 秒内,当前网站的所有请求都强制使用 HTTPS 的方式访问。即使用户手动输入 http://,浏览器也会强制使用 HTTPS 方式访问。
参数 includeSubDomains 是可选的,当指定了该参数,所有子域名将采用同样的 HSTS 规则。
可以看到 HSTS 可以很好的解决 HTTPS 降级攻击,但是对于 HSTS 生效前的首次 HTTP 请求,依然无法避免被劫持。浏览器厂商们为了解决这个问题,提出了 HSTS Preload List 方案:内置一份可以定期更新的列表,对于列表中的域名,即使用户之前没有访问过,也会使用 HTTPS 协议。 (Jerry Qu)

引用:https://www.cnblogs.com/oneapm/p/5168793.html

星空远航
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HSTS漏洞(缺少Strict-Transport-Security头)
墨痕诉清风的博客
05-17 764
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序未实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标头。理想回复响应头因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应头。
nginx实现CSRF和XSS防御
热门推荐
xiaomin的博客
01-31 2万+
版权声明:本文为博主原创文章,未经博主允许不得转载。 nginx实现CSRF和XSS防御  最近,因为公司任务要求,搞了一下nginx配置。任务要求是实现CSRF和XSS防护,至于什么是CSRF和XSS请自行学习一下。首先需要解释的是,这里所提到的CSRF和XSS防御全是基于后台基于Nginx配置。 1.CSRF防御 网上搜一下解决方案大概是有四种: (1)验证H
nginx ip 过滤访问限制
03-02
python脚本 从nginx的访问log,获取访问IP,记录到redis,根据IP访问数量判断是否存在安全问题,记录不正常IP,(写入到防火墙过滤-待完成)
nginx防护规则,拦截非法字符,防止SQL注入、防XSSnginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
云博客_资源宝分享
02-18 3266
nginx防护规则,拦截非法字符,防止SQL注入、防XSSnginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
完颜振江
12-12 706
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
ideal-lingyun
09-24 851
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
Nginx 安全配置指南技术手册.zip
08-31
Nginx安全配置指南技术手册》是一本深入探讨如何保护Nginx服务器免受攻击和提高其安全性的专业资料。Nginx作为一款广泛使用的高性能Web服务器和反向代理服务器,其安全性对于整个网络环境至关重要。本手册将详细...
Nginx 安全配置指南技术手册.rar_PFN_nginx_televisiona99_安全运维
09-22
**Nginx安全配置指南技术手册** 在网络安全日益重要的今天,Nginx作为一款高性能的Web服务器和反向代理服务器,其安全配置显得至关重要。Nginx安全运维不仅关乎到网站的正常运行,还直接关系到用户数据的安全。这...
CentOS7 环境下Tomcat和Nginx 安全配置操作手册
09-08
四、安全配置 - 使用防火墙(如`firewalld`或`iptables`)开启必要的端口,例如80、443、8080等。 - 避免使用默认的端口号,以减少被攻击的风险。 - 对Nginx和Tomcat的配置文件进行权限控制,只允许必要的用户访问...
Nginx安全配置指南技术手册.pdf(应用技术指南).txt
07-17
### 二、Nginx安全配置的重要性 在当今数字化时代,网络安全威胁不断增加,包括但不限于DDoS攻击、SQL注入、XSS攻击等。这些威胁可能对网站造成严重的损害,如数据泄露、服务中断等。因此,合理地配置Nginx安全...
nginx https 配置
11-23
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
关于nginx配置项防止xss攻击的记录
蓝色的天空的博客
04-03 6111
server { ...... //以下两种方式未生效 add_header Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-XSS-Protection "1; mode=block"; location / { ......
项目或者nginx配置中怎么预防XSS攻击
最新发布
keyboard专栏
04-24 987
预防跨站脚本攻击XSS)是网络应用安全的关键部分。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常是通过注入恶意的HTML或JavaScript代码到用户页面上。防止XSS需要在应用程序开发和服务器配置两方面同时进行防护。
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
2301_81749759的博客
04-17 1012
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com或者直接foo.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
nginx配置请求头防止点击劫持
稻火的博客
05-25 477
nginx配置请求头防止点击劫持 在返回index.html配置中加入add_header X-Frame-Options DENY; location / { root /data/nginx/html/dist/; index index.html; add_header X-Frame-Options DENY; try_files $uri $uri/ @router; } DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页
nginx配置解决XSS漏洞问题
wangjian20000的专栏
03-01 7936
打开nginx.conf文件,找到对应的location模块, X-XSS-Protection 的字段有三个可选配置值,说明如下: 0: 表示关闭浏览器的XSS防护机制1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置1; mode=block:如果检测到恶意代码,在不渲染恶意代码 location模块新增如下配置信息, location / { add_header X-Con
Nginx 配置过滤攻击
java_w的专栏
12-17 576
#配置生效 server{ include /opt/www/nginx/conf/dropsql; } cat /opt/www/nginx/conf/dropsql # Block common exploits set $block_common_exploits 0; #过滤alert if ($query_string ~ .*alert.*) { set $block...
一些安全相关的HTTP响应头
wangsg2014的专栏
03-28 2772
现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。本文介绍一些这样的响应头: 1. Strict-Transport-Security HTTP Strict Transport Security,简称为HSTS。它允许一个HTTPS网站,要求浏览器总是通过HTTPS来访问它。现阶段,除了Chrome浏览器,Firefox4
Nginx安全配置详解:从基础到高级功能
Nginx安全配置指南技术手册是一份详细的指南,旨在帮助用户深入了解和优化Nginx安全设置和管理。Nginx是一个高效的HTTP和反向代理服务器,以及IMAP/POP3/SMTP服务器,由Igor Sysoev为俄罗斯访问量巨大的Rambler.ru...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值