nginx web 安全配置

已于 2022-02-27 10:20:21 修改
阅读量8.1k 收藏 7
点赞数
分类专栏: nginx 文章标签: nginx 运维 安全
于 2022-02-27 10:11:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25794513/article/details/123160115
版权

1、配置响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)

server{
        add_header X-Frame-Options SAMEORIGIN;
		add_header X-XSS-Protection '1;mode=block';
		add_header X-Content-Type-Options nosniff;
}



注:
X-Frame-Options:
有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

X-Frame-Options三个参数:
1、DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
2、SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。
3、ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示。

X-XSS-Protection头的三个值
0: 表示关闭浏览器的XSS防护机制
1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置
1; mode=block:如果检测到恶意代码,在不渲染恶意代码
不指定X-Frame-Options的网页等同表示它可以放在任何iFrame内。
X-Frame-Options可以保障你的网页不会被放在恶意网站设定的iFrame内,令用户成为点击劫持的受害人。

2、请求方法拦截(GET|POST|HEAD以外的请求无法访问)

server{
    if ($request_method !~* GET|POST|HEAD) {
         return 403;
    }
}

3、sql 注入拦截

server{
    if ($query_string ~* ".*('|--|union|insert|drop|truncate|update|from|grant|exec|where|select|and|or|count|chr|mid|like|iframe|script|alert|webscan|dbappsecurity|style|confirm|innerhtml|innertext|class).*")
		{ return 500; }
    if ($uri ~* .*(viewsource.jsp)$) { return 404; }
	if ($uri ~* .*(/~).*) { return 404; }
}

4、页面拦截

    location /web.config {
	    return 403; 
    }

王小栋857
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx安全配置
lx16870的专栏
06-12 1066
最近几天发了一些nginx的东西,今天就讲讲一些大家关注比较少的点吧,即关于一些nginx安全方面的配置。这个点大家可能会经常忽略的。nginx安全配置方面主要有这几个常见的点: 1.开启nginx的访问限制 nginx提供两个关键字对访问进行限制。 allow即允许访问的ip,deny就是禁止访问的ip,通过这些配置我们就能拦截住某些ip的控制,若是在平时中发现有ip一直在频繁的乱抓取我们的页面的话,就可以使用这个配置。主要配置就是:allow ip;...
网络安全基础知识篇----nginx安装
weixin_59086772的博客
03-30 6143
nginx安装 0x00 nginx介绍 Nginx(读音"engine x")是由俄罗斯程序员 Igor Sysoev 编写,2004年10月作为一个试图回答公众发布 C10K 问题。其中 C10k 是同时管理 10,000 个连接的挑战。Nginx 采用了事件驱动和异步架构,此设计使 Nginx 成为可扩展、高性能的服务器。 它是一个开源、轻量级和高性能的 Web 服务器,也用作 HTTP、HTTPS、SMTP、IMAP、POP3 协议的反向代理服务器,另一方面,它也用作 IMAP、POP3 和
[Web开发] IE 如何判断文件的类型
IE浏览器开发
02-11 3602
浏览器如何判断一个文档的类型是txt,还是html?还是JPG? 还是XML ? .... 不同的文档类型应该使用不同的方式去显示。 比较标准的判断文档类型依据是:1) 通过HTTP 请求数据包header的Content-Type值2)通过文件扩展名 但是这2个依据并不是每次都可靠的。有很多服务器没有被很好配置,于是就没有content-type这项。另外,很多动态的PH
Web安全之充分利用 X-Content-Type-Options
路多辛的所思所想
06-13 6915
X-Content-Type-Options 是一种 HTTP 响应头,用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options,浏览器将遵循服务器提供的 MIME 类型,用于防止浏览器执行 MIME 类型错误的响应体(response body)。
【已解决】“X-Content-Type-Options”头缺失或不安全
最新发布
qq_44005305的博客
06-05 972
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
“X-Content-Type-Options”头缺失或不安全
fengkuangyiye的博客
11-16 791
位置:src/main/java/com/ruoyi/framework/interceptor/RepeatSubmitInterceptor.java。
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 3984
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测到目标X-Content-Type-Options响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测到目标Referrer-Policy响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应头缺失 add_
Web应用安全Nginx权限配置.doc
06-19
实验三:Nginx权限配置 实验目的 熟悉nignx并配置访问权限 实验内容 查看nginx配置文件 修改访问权限 重启nginx 查看结果 实验环境 kali系统 实验步骤 查看nginx配置文件 Nginx的主配置文件为“/etc/nginx/nginx....
Web应用安全Nginx禁止目录列出配置.pptx
06-18
目录遍历攻击是一种常见的Web安全威胁,攻击者尝试通过在URL中添加特定的路径或文件名,如"../"或"/*53.pdf",来访问服务器上原本不应该公开的目录和文件。这种攻击可能导致数据泄露、服务中断甚至完全控制服务器。...
Web应用安全Nginx权限配置.pptx
06-18
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,中国大陆使用...
Web应用安全Nginx日志配置实验.doc
06-20
Web应用安全Nginx日志配置实验】 在网络安全领域,Web应用安全至关重要,而Nginx作为广泛应用的Web服务器,其日志配置对于监控和分析网站活动、检测潜在威胁以及故障排查有着不可忽视的作用。这个实验主要目标...
Web应用安全Nginx日志配置.pptx
06-20
Web应用安全Nginx日志配置Web 应用安全中,Nginx 日志配置是一项重要的安全措施。通过合适的日志配置,可以更好地记录和追踪网站的访问记录,从而帮助管理员更好地监控网站的安全状态。本文将详细介绍 Nginx ...
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8821
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
安全头响应头(三)​X-Content-Type-Options
wzj_110的博客
08-15 2987
【代码】安全头响应头(三)​X-Content-Type-Options
nginx优化2
qq_43297415的博客
03-27 703
HTTP Strict-Transport-Security 可以限定浏览器只能通过HTTPS访问当前资源,禁止HTTP方式。将您的服务器配置为在所有传出请求上发送值为“nosniff”的“X-Content-Type-Options”头。
Nginx学习之Nginx实战(二)
sdaujsj1的博客
07-23 450
文章目录一 反向代理二 负载均衡其他配置信息proxy_next_upstreamproxy_connect_timeoutproxy_send_timeoutproxy_read_timeoutproxy_upstream_fail_timeout三 Nginx动静分离什么是动静分离静态资源的类型动静分离的好处缓存Nginx缓存配置压缩配置信息四 防盗链防盗链配置五 跨域访问 一 反向代理 nginx反向代理的指令不需要新增额外的模块,默认自带proxy_pass指令,只需要修改配置文件就可以实现反向代理
nginx常用配置系列-HTTPS配置
weixin_34232617的博客
06-27 235
接上篇,nginx配置系列 HTTPS现在已经很流行,特别是AppStore上线的应用要求使用HTTPS进行通信,出于安全考虑也应该使用HTTPS,HTTPS配置需要准备证书文件,现在也有很多免费证书可以申请,比如阿里云 证书相关有两个文件,一个key文件server.key,一个证书文件server.crt(证书文件的格式有很多(pem,p12,crt等)一般使用pem或crt,nginx都...
nginx 配置web界面
03-28
Nginx可以通过**配置文件进行管理和配置**,也可以通过**图形化工具来简化配置过程**。 Nginx配置系统由一个主配置文件和一些辅助的配置文件构成,这些文件通常是纯文本文件。在大多数情况下,只需要编辑主配置文件即可完成基本设置。对于初学者来说,直接编辑配置文件可能会有些复杂,因此可以使用一些图形化的配置管理工具来简化这个过程。这些工具通常提供一个Web界面,允许用户通过网页来快速配置和管理Nginx及其集群。 使用图形化工具配置Nginx时,可以管理包括但不限于以下功能: 1. **HTTP协议转发**:设置Nginx作为静态网页或动态内容的HTTP服务器,或者作为反向代理服务器。 2. **TCP协议转发**:配置Nginx处理非HTTP的TCP流量,例如SMTP、IMAP等。 3. **反向代理**:将客户端的请求转发到后端的服务器,并将后端服务器的响应返回给客户端。 4. **负载均衡**:在多个后端服务器之间分配请求,以实现高可用性和扩展性。 5. **SSL证书管理**:自动申请、续签和配置SSL证书,以保障网站的安全连接。 此外,如果需要更高级的定制配置,仍然可以直接编辑生成的`nginx.conf`文件来满足特定的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值