Nginx 添加安全Security Missing Headers

已于 2023-12-08 14:46:37 修改
阅读量380 收藏 1
点赞数
文章标签: nginx 安全 前端
于 2023-09-23 18:02:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57252848/article/details/133212017
版权 
server{
    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
    add_header Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline'     'unsafe-eval' blob: data: ;";
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-Content-Type-Options nosniff;
    add_header Referrer-Policy 'origin';
    add_header Permissions-Policy "accelerometer=(), camera=(), geolocation=(), microphone=(), payment=(), usb=(), midi=(), notifications=(), push=(), sync-xhr=()";
    
    add_header X-Download-Options noopen;
    add_header X-XSS-Protection 1;
    add_header X-Permitted-Cross-Domain-Policies none;
}

server块添加即可

使用服务时可能会受到nginx的限制

#允许多个域名iframe嵌套,注意这里是用逗号分隔
add_header X-Frame-Options "ALLOW-FROM http://whsir.com/,https://cacti.org.cn/";

handsometa
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx 中常见 header 配置及修改
am_Linux的博客
04-10 1万+
除了自带的 headers 模块,也可以安装第三方的 headers-more 模块,对应 headers 的控制更全面,更方便,headers-more 是 openresty 的一个模块,openresty 就自带了,nginx 的话,需要编译添加动态模块。proxy_set_header 通常用的最多,可以在提交给上游服务器的 header添加或重写 header,比如通常用到的,反向代理的时候,添加客户端 IP、XFF 等字段。
ngx_security_headers:NGINX模块,用于发送安全
05-05
ngx_security_headers 此NGINX模块以正确的方式(c)添加安全标头,并删除了不安全的标头。概要http { security_headers on; ...} 运行curl -IL https://example.com/将产生添加安全标头: ...
nginx配置教程之add_header的坑详解
thlzjfefe的博客
12-07 8377
前言 add_headerheaders 模块中定义的一个指令,顾名思义就是用来添加 http 响应头的。但请注意他只是「添加」而已,并不是重写。所以如果已经存在某个头,再使用 add_header 就会出问题。而且在低版本的 nginx 中 add_header 还不支持在错误页面中使用。 这是一个坑比较多的指令。它的处理阶段比 location 处理晚,虽然可以写在 location 中,但如果 rewrite 别的 location,那么上一个 location 中尚未处理的 add_hea
Https安全配置
03-02 484
随着Https的大量应用,几乎所有网站都使用了https的模式。大部分小伙伴可能只是知道https用于加密传输
Nginxnginx配置文件学习
AnRanGeSi的博客
09-16 4054
访问nginx服务器192.168.48.129:82/linboke 页面,刷新第一次出现页面1再刷新一次页面出现页面2,多次刷新后随着页面内容的交替变化,发现此时nginx的负载均衡轮询规则已经生效。每个客户端的请求会按照时间顺序逐个分配到不同的后端服务器,如何myserver块中的某一台服务器挂了,那么nginx会自动剔除出问题的机器,保证业务正常。每个客户端都有一个代理,客户端通过代理去目标服务器获取资源,客户端清楚并知道服务器是谁,而服务器不知道客户端是谁。
nginx跨域之add_header说明
热门推荐
cauyahui的专栏
06-22 1万+
由于浏览器的安全限制,前端js代码无法直接访问不同域下的资源。只要协议、域名、端口有任何一个不同,都被当作是不同的域。 跨域的解决方案有很多,目前常用的方案是通过nginx代理服务器给返回的响应头添加cors跨域配置项来解决。 在此对nginx配置add_header进行说明: 格式:add_header name value [always]; name是添加的头名称,valu...
Nginx添加lua模块的实现方法
09-18
主要介绍了Nginx添加lua模块的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
nginx进行安全加固.zip
12-21
nginx进行安全加固.zip nginx安全加固技术
阿里云标准-Nginx安全基线检查
最新发布
05-10
阿里云标准-Nginx安全基线检查
Nginx动态添加模块的方法
09-29
主要介绍了为Nginx动态添加模块的方法,文中讲解非常细致,代码帮助大家更好的理解和学习,感兴趣的朋友可以了解下
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx安全有关的配置
icanflying的博客
12-03 5166
​​​​​​ 添加黑白名单 白名单配置 location /admin/ { allow 192.168.1.0/24; deny all; } 上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有 也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如 location /ops-coffee/ { deny 192.168.1.0/24; allow all; } 更多的时候客户端请求会经过层层代理,我们
Web 安全之 Permissions Policy(权限策略)详解
A1_3_9_7的博客
03-30 1020
Permissions Policy 为 web 开发人员提供了明确声明哪些功能可以在网站上使用,哪些功能不能在网站上使用的机制。可以设置一组策略,用于限制站点代码可以访问的 API 或者修改浏览器对某些特性的默认行为。设置 Permissions-Policy 可以在代码库不断演进的同时强制执行最佳实践,同时更安全地组合第三方内容。Permissions Policy 类似于 Content Security Policy(CSP 内容安全策略),但控制的是功能特性,而不是安全行为。
更快更安全HTTPS 优化总结
qq_44005305的博客
02-05 392
浏览器在访问站点的时候,如果没有指定 HTTPS 访问,会默认使用 HTTP,所以我们会将 HTTP 重定向(301或302)到 HTTPS。这样看起来没有问题,但是当使用重定向进行跳转时,网站就存在被劫持的可能。因此有了 HSTS, 采用 HSTS 协议的网站将保证浏览器始终连接到网站的HTTPS版本,而不需要用户手动在URL地址栏中输入包含https://的加密地址,实现了一种新的跳转方式(浏览器识别后直接跳转),用户访问到的直接就是 HTTPS 的版本。
几个“HTTP 请求头”告警处理
虫虫的博客
09-23 2617
给NC搬了个家,发现又是一堆警告,都是HTTP响应头相关的,不太影响使用,但对于强迫症来说,不解决一下怎么行 一些老旧的告警解决方法之前都写过了,见这里:https://bugxia.com/?s=nextcloud+后台+警告 HTTP的请求头 “Strict-Transport-Security” 未设置为至少 “15552000” 秒。 HTTP 请求头 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险,我们建议您调整这项设置。 HT
Nginx添加ngx_http_headers_module模块
zhangge3663的博客
08-18 2125
今天由于公司微信端添加地图业务,但地图不支持https,所以将https改为http访问,因此出现访问异常,原因是之前访问的用户,微信端存在缓存页面,但是不会清楚,所以我就提出,可以在nginx在主机头跳转的时候做清楚缓存的操作,让微信端访问时,响应头不存储缓存,这样就解决问题了,下面是配置的过程(配置很简单,但是这个过程我花了1天的时间,如果有坑,请留言) 官方文档:http://nginx.org/en/docs/http/ngx_http_headers_module.html 1.查看档...
nginx add header csp
或非与博客
08-08 1175
引入谷歌 / hotjar统计,等外站的js/frame/css,会出现script-src、style-src、connect-src、frame-src、img-src等提示不安全,需要在nginx的头部增加Content-Security-Policy
Missing HTTP Strict-Transport-Security Header (HSTS) 解决
weixin_33796177的博客
08-21 4674
HSTS简介 HSTS(HTTP Strict Transport Security)是国际互联网工程组织IETF发布的一种互联网安全策略机制。采用HSTS策略的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址,以减少会话劫持风险。 server { listen 443 ssl; server_name ww...
nginx Content-Security-Policy
06-08
Content-Security-Policy(CSP)是一种浏览器安全策略,用于减少跨站点脚本(XSS)、点击劫持等攻击。通过在HTTP响应头中添加CSP指令,可以控制浏览器加载和执行页面内容的策略。 在Nginx中启用CSP,可以通过在server或location块中添加以下配置来实现: ``` add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline';"; ``` 上述配置中,default-src指定了默认的资源加载策略为只允许加载同源资源,script-src指定了允许加载JavaScript脚本的资源的策略为只允许加载同源和内联脚本。 需要注意的是,CSP策略的配置需要根据具体的应用场景和需求进行调整,不当的配置可能会导致页面无法正常加载或执行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值