nginx优化2

已于 2024-04-11 11:05:50 修改
阅读量674 收藏 4
点赞数 4
分类专栏: nginx 文章标签: nginx 运维
于 2024-03-27 20:19:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43297415/article/details/137088196
版权

> X-Content-Type-Options响应头缺失

> 参考:https://www.cnblogs.com/jerry-0910/p/15624810.html

详情描述

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对
MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME
类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。 
X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击

解决办法:
将您的服务器配置为在所有传出请求上发送值为“nosniff”的“X-Content-Type-Options”头。

# add_header X-Content-Type-Options: nosniff;
# 如果服务器发送响应头 “X-Content-Type-Options: nosniff”,则 script 和 styleSheet
# 元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能,有助于防止基于 MIME 类型混淆的攻击。

具体操作

> 格式如下
location / {
    ...
    add_header X-Content-Type-Options nosniff;
    ...
}

> HTTP X-Download-Options 响应头缺失

详情描述

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options会导致浏览器提供的安全特性失效,容易遭受 Web 前端黑客攻击的影响。
可以使用X-Download-Options标头下载所请求的数据。 X-Download Options标头可在Internet Explorer 8及更高版本的浏览器中使用。
这个标头就像一个深度防御机制,特别适合于允许用户上传内容的应用程序,避免用户直接打开其上传的包含恶意代码的文件,
通过向X-Download-Options HTTP头添加noopen指令来删除用户必须打开文件的选项。

解决方法:
add_header X-Download-Options noopen

location / {
    ...
    add_header X-Download-Options "noopen" always;
    ...
}

> HTTP X-Permitted-Cross-Domain-Policies 响应头缺失

参考:
https://zhuanlan.zhihu.com/p/335165168
http://t.csdn.cn/WIEdy

详情描述

X-Permitted-Cross-Domain-Policies
用于指定当不能将crossdomain.xml文件(当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件)放置在网站根目录等场合时采取的替代策略。
常用的配置值:master-only 只允许使用主策略文件(/crossdomain.xml)

解决方法
add_header X-Permitted-Cross-Domain-Policies master-only;

location / {
    ...
    add_header X-Permitted-Cross-Domain-Policies master-only;
    ...
}

> HTTP Content-Security-Policy 响应头缺失

参考:
https://www.cnblogs.com/oneapm/p/5168793.html
http://t.csdn.cn/Tt7Rv

location / {
    ...
    add_header Content-Security-Policy: default-src 'self';
    ...
}

> HTTP Strict-Transport-Security 响应头缺失

参考:
http://www.04007.cn/article/1141.html
https://zhuanlan.zhihu.com/p/428634096

问题描述
HTTP Strict-Transport-Security 可以限定浏览器只能通过HTTPS访问当前资源,禁止HTTP方式。

server {
    listen       443;
    server_name  ds.v.com;

    location / {
        ...
        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        ...
    }
}

> HTTP X-XSS-Protection 响应头缺失

参考:
http://t.csdn.cn/juYoW
https://zhuanlan.zhihu.com/p/428634427

server {
      listen       443;
      server_name  ds.v.com;  # 驾驶安全

      location / {
          client_body_timeout  7200;
          proxy_read_timeout 7200;
          proxy_send_timeout 7200;
          proxy_pass   http://127.0.0.1:9005/;
          proxy_cookie_path / "/; httponly; secure; SameSite=Lax";
          add_header X-Content-Type-Options nosniff;
          
          add_header X-XSS-Protection 1;   # 添加这两行
          add_header X-XSS-Protection mode=block;
      }

      ssl_certificate     "/etc/nginx/ssl/ds/ds.v.com.pem";
      ssl_certificate_key "/etc/nginx/ssl/ds/ds.v.com.key";
      # ssl_protocols      TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
      ssl_protocols      TLSv1.3;

      ssl_session_cache shared:SSL:1m;
      ssl_session_timeout  10m;
      ssl_ciphers HIGH:!aNULL:!MD5;
      ssl_prefer_server_ciphers on;
    }

> HTTP Referrer-Policy 响应头缺失

> # nginx中增加对Referrer的控制
add_header  Referrer-Policy  "origin-when-crossorigin";
add_header 'Referrer-Policy' 'origin';
add_header 'Referrer-Policy' 'unsafe-url';
陆先生。
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx优化详解
weixin_41492695的博客
06-13 190
1、Nginx工作进程数量 Nginx运行工作进程个数一般设置CPU的核心或者核心数x2。 [root@lx~]# vim /etc/nginx/nginx.conf worker_processes 4; 2、Nginx运行CPU亲和力 比如4核配置: worker_processes 4; worker_cpu_affinity 0001 0010 0100 1000 比如8核配置: worker_processes 8; worker_cpu_affinity 00000001
nginx基本优化
小白鲨
03-20 284
优化作用: 我就总结了一点:改善nginx服务的使用效果 平滑升级:https://blog.csdn.net/qq_42984065/article/details/88689630 一、隐藏nginx的版本号有两种方式: 1.在/usr/local/nginx/conf/nginx.conf中的http区域添加server_tokens off; :wq ,重启nginx即可 2.修改ngin...
最新Nginx配置Http响应头安全策略_nginx content-security-policy,网络安全基础面试题
2401_84281588的博客
05-14 1040
外链图片转存中…(img-g8bw7tyK-1715617748899)][外链图片转存中…(img-oTuL5Hym-1715617748900)][外链图片转存中…(img-wcd0R5cv-1715617748900)][外链图片转存中…(img-vYvOkdEg-1715617748901)][外链图片转存中…(img-0DKdlEic-1715617748902)][外链图片转存中…(img-yiUT3Ccd-1715617748902)]
Nginx配置“Content-Security-Policy”头 、“X-XSS-Protection”头 和“X-Content-Type-Options”头
weixin_42564514的博客
07-24 9987
如上图配置 add_header X-Content-Type-Options: nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'"; 如上图即成功
【已解决】“X-Content-Type-Options”头缺失或不安全
最新发布
qq_44005305的博客
06-05 942
是一款安全漏洞扫描软件,由IBM公司研发,后又被卖给了印度公司HCL。在中,今天我们说下扫描结果中包含X-Content-Type-Options请求头header的缺失或不安全的时候,我们该如何应对。风险:可能会收集有关 Web应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置;可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息。技术原因:未设置此header时,会加载所有script文件,即使它的MIME不是text/javascript等。
nginx常用配置系列-HTTPS配置
weixin_34232617的博客
06-27 235
接上篇,nginx配置系列 HTTPS现在已经很流行,特别是AppStore上线的应用要求使用HTTPS进行通信,出于安全考虑也应该使用HTTPS,HTTPS配置需要准备证书文件,现在也有很多免费证书可以申请,比如阿里云 证书相关有两个文件,一个key文件server.key,一个证书文件server.crt(证书文件的格式有很多(pem,p12,crt等)一般使用pem或crt,nginx都...
Nginx配置Http响应头安全策略_nginx content-security-policy(1)
m0_58269520的博客
04-08 1516
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Web安全之充分利用 X-Content-Type-Options
路多辛的所思所想
06-13 6886
X-Content-Type-Options 是一种 HTTP 响应头,用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options,浏览器将遵循服务器提供的 MIME 类型,用于防止浏览器执行 MIME 类型错误的响应体(response body)。
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11 3978
如果需要找的漏扫问题,可以在评论区发言,我看到就会回复。 检测到目标X-Content-Type-Options响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,不要出现apache、nginx等字样 检测到目标Referrer-Policy响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应头缺失 add_
nginx web 安全配置
栋院
02-27 8190
1、配置响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection) server{ add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1;mode=block'; add_header X-Content-Type-Options nosniff; } 注: X-Frame-Options: 有些资源的Content-Type
“X-Content-Type-Options”头缺失或不安全
fengkuangyiye的博客
11-16 782
位置:src/main/java/com/ruoyi/framework/interceptor/RepeatSubmitInterceptor.java。
关于nginx HTTP安全响应问题
liwan09的博客
04-20 8785
攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。
Nginx性能优化指南
03-28
nginx性能优化指南
Nginx配置优化详解
09-30
Nginx配置优化是提升其性能的关键步骤,尤其是在高并发访问的生产环境中。本文将深入探讨如何通过调整Nginx的配置文件来实现性能优化。 首先,我们要修改的主要配置文件是`nginx.conf`,它位于服务器的`/etc/nginx`...
Nginx 性能优化实践1
08-03
Nginx 性能优化实践1】 Nginx 是一款高性能的HTTP和反向代理服务器,常用于网站的负载均衡和内容分发。本文主要探讨Nginx的三个核心优化点:反向代理与负载均衡、高速缓存以及性能参数调优。 一、Nginx 反向代理...
nginx优化.docx
09-08
Nginx优化详解】 Nginx是一款高性能的HTTP和反向代理服务器,以其轻量级、高并发处理能力著称。为了最大化Nginx的性能,我们可以从多个方面进行优化,包括配置调整、内核参数优化等。以下是一些关键的优化策略: ...
nginx优化详细
10-17
通过一个百万并发的nginx反向代理服务器的配置文件优化选项
Nginx学习之Nginx实战(二)
sdaujsj1的博客
07-23 448
文章目录一 反向代理二 负载均衡其他配置信息proxy_next_upstreamproxy_connect_timeoutproxy_send_timeoutproxy_read_timeoutproxy_upstream_fail_timeout三 Nginx动静分离什么是动静分离静态资源的类型动静分离的好处缓存Nginx缓存配置压缩配置信息四 防盗链防盗链配置五 跨域访问 一 反向代理 nginx反向代理的指令不需要新增额外的模块,默认自带proxy_pass指令,只需要修改配置文件就可以实现反向代理
nginx优化
06-01
Nginx是一个高性能的Web服务器和反向代理服务器,它具有占用资源少、处理请求快、支持高并发等优点,但是在大流量环境下,需要对Nginx进行优化,以提高性能和稳定性。 以下是一些Nginx优化的建议: 1. 调整worker_processes参数 worker_processes参数是Nginx的工作进程数,建议将其设置为CPU核心数的两倍。 例如,如果你的服务器有8个CPU核心,则可以将worker_processes设置为16。 2. 增加worker_connections参数 worker_connections参数表示每个工作进程可以同时处理的连接数,建议将其设置为1024或更高。 可以通过以下命令查看当前系统的最大连接数: ``` ulimit -n ``` 如果当前值较小,则需要增加该值: ``` ulimit -n 65535 ``` 3. 开启TCP Keepalive TCP Keepalive可以在连接空闲一段时间后,自动发送一个探测包,以保持连接的有效性。 可以通过以下命令开启TCP Keepalive: ``` tcp_nodelay on; tcp_nopush on; keepalive_timeout 60s; ``` 其中,keepalive_timeout表示空闲连接的超时时间。 4. 启用gzip压缩 启用gzip压缩可以减少传输数据量,提高网站的响应速度。 可以通过以下命令开启gzip压缩: ``` gzip on; gzip_min_length 1k; gzip_buffers 16 64k; gzip_http_version 1.1; gzip_comp_level 6; gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript; ``` 其中,gzip_types表示需要压缩的文件类型。 5. 限制请求速率 限制请求速率可以防止恶意攻击和DDoS攻击。 可以通过以下命令限制请求速率: ``` limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; ``` 其中,$binary_remote_addr表示客户端IP地址,zone表示限制区域,10m表示限制区域的内存大小,rate表示请求速率。 6. 缓存静态文件 缓存静态文件可以减少文件的读取次数,提高网站的响应速度。 可以通过以下命令缓存静态文件: ``` location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ { expires 1d; add_header Cache-Control "public"; } ``` 其中,expires表示文件的过期时间,add_header表示响应头信息。 以上是一些Nginx优化建议,需要根据实际情况进行调整和优化

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值