Nginx: 弱扫和安全策略

最新推荐文章于 2024-05-19 23:31:10 发布
最新推荐文章于 2024-05-19 23:31:10 发布
阅读量482 收藏 12
点赞数 8
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38992765/article/details/135437272
版权

Nginx弱扫和安全策略

最近在公司配置Nginx,一下子又变成了运维人员 ╮(╯▽╰)╭ , 这是我整理对 服务器弱扫 的一些 配置

server {
	  #监听443端口
	  listen 443;
	  #你的域名
    server_name         www.example.com; // 域名
    ssl_certificate     www.example.com.crt; // https 证书
    ssl_certificate_key www.example.com.key; // https 证书

    # 协议
    ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
    
    ssl_prefer_server_ciphers off;

    # HSTS 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源
    add_header Strict-Transport-Security "max-age=63072000;includeSubDomains" always;

    # 安全策略
    add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";
  
    # 允许将“Expires”和“Cache-Control”标头字段以及任意字段添加到响应标头
    add_header X-Content-Type-Options nosniff;
  
    # 网站可以利用这一点来避免点击劫持攻击,确保其内容不会嵌入到其他网站中
    # 防止 crsf 攻击
    add_header X-Frame-Options SAMEORIGIN;
}

注意

ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;

此命令可能导致 IE 浏览器打不开,需要 IE浏览器 配置一些配置

 add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";

此命令可能需要不断更新(可能),之前改过一次,导致 base64 的图片无法打开,而且这些命令 可以将 self 改成需要的域名IP等,比如如果直接设置 frame-ancestors 'self'; 可能导致 别的页面在内嵌Iframe 会直接打不开

参考

HTTP security 文档

一个抱抱一首歌
关注
  • 8
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux之安全最佳做法(未完成)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-12 2218
一直跟Linux打交道,但是凡事多扰,一直未专门针对系统安全做过针对性总结,基于此,本文将记录总结一些Linux 安全配置过程中的常用实践,最后梳理成为安全最佳实践。
docker镜像——nginx:alpine
04-03
nginx:alpine离线镜像包,使用docker load -i nginxalpine.tar
./nginx: No such file or directory
01-09
我用的是ubuntu18.04安装nginx 一般来说我们安装的nginx文件结构大致是这样的: 1. 所有的配置文件都在/etc/nginx下,并且每个虚拟主机已经安排在了/etc/nginx/sites-available下 2. 程序文件在/usr/sbin/nginx 3. 日志放在了/var/log/nginx中 4. 并已经在/etc/init.d/下创建了启动脚本nginx 5. 默认的虚拟主机的目录设置在了/var/www/nginx-default (有的版本 默认的虚拟主机的目录设置在了/var/www, 请参考/etc/nginx/sites-available
NGINX:: A Practical Guide To High Performance
11-10
Nginx (engine x) 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。 其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。 Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,并在一个BSD-like 协议下发行。其特点是占有内存少,并发能力强,事实上nginx的并发能力确实在同类型的网页服务器中表现较好,中国大陆使用nginx网站用户有:百度、京东、新浪、网易、腾讯、淘宝等。
Nginx 安全优化
RAB
04-27 5654
Nginx 安全优化
配置或学习记录 - Web安全漏洞问题解决方案参考
Bingo冲冲冲
10-17 8445
下面是由AppScan测试工具所描出的一些Web安全漏洞,将解决方案记录在此。(应用使用了Nginx作为反向代理服务器,本文的解决方案都是基于Nginx配置的) 安全漏洞清单: 解决方案(以下涉及的配置文件指Nginx服务器的配置文件nginx.conf): 1.加密会话(SSL)Cookie中缺少Secure属性 2.检测到密码套件:不支持完全前向保密、密码套件-ROBOT 攻击: 服务器支持易受攻击的密码套件、检测到SHA-1密码套件(这里前端请求使用的是https,http请求请忽略) 3
专家建议:网络安全行业有发展前景,值得进军_做安全策略的前景
2301_77116622的博客
04-19 689
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,可以点击免费领取(如遇码问题,可以在评论区留言领取哦)~😝有需要的小伙伴,可以点击下方链接免费领取或者V描下方二维码免费领取🆓👉CSDN大礼包🎁:全网最全《网络安全入门&进阶学习资源包》免费分享**(安全链接,放心点击)**👈​。
记一次安全漏洞处理过程 Appscan漏问题
qq_38599266的博客
12-20 460
我使用的是nginx-0.18版本,升级成最新的稳定版0.24版,漏通过。解决办法:我使用的是nginx服务器,在nginx.conf文件的server里面配置如下内容,有的内容按自己项目实际情况配置。漏洞2 : Content-Security-Policy 响应头缺失或具有不安全策略,项目上线之前,经运维部门漏网址发现很多安全漏洞,这里分享一下这些漏洞的解决办法。到“X-Content-Type-Options”响应头缺失或具有不安全值,漏洞5. 返回不必要的响应头信息。至此,各种漏洞完美解决!
Nginx + Spring Boot 实现负载均衡
<sdffdsfsdfdfs>sfsfsfsdfsdffds</sdfsDS>Fsd
10-06 106
Python实战社群Java实战社群长按识别下方二维码,按需求添加码关注添加客服进Python社群▲码关注添加客服进Java社群▲作者丨虚无境来源丨博客园http://www.cnb...
Nginx 问题 之 nginx: [emerg] unknown directive "echo" in /weblogic/nginx/conf/nginx.conf:43-附件资源
03-02
Nginx 问题 之 nginx: [emerg] unknown directive "echo" in /weblogic/nginx/conf/nginx.conf:43-附件资源
HW:红队眼中的防守点与蓝队应对攻击的常用策略
weixin_42489549的博客
06-07 2648
HW 红队眼中的防守点 一、资产混乱、隔离策略不严格 除了大型银行之外,很多行业对自身资产情况比较混乱,没有严格的访问控制ACL策略,且办公网和互联网之间大部分相通,可以直接使远程控制程序上线。 除了大型银行与互联网行业外,其他很多行业在DMZ区和办公网之间不做或很少做隔离,网络区域划分也不严格,给了红队很多可乘之机。 此外,几乎所有行业的下级单位和上级单位的业务网都可以互通。而除了大型银行之外,其他很多行业的办公网也大部分完全相通,缺少必要的分区隔离。所以,红队往往可以轻易地实现实施从子公司入侵母公司,
[每周一更]-(第97期):认识Podman,并对比Docker
最新发布
hmx224_2014的专栏
05-19 1013
Podman 和 Docker 都是流行的容器引擎,用于创建、运行和管理容器。此外,Podman 还支持 SELinux 和 AppArmor 等安全功能,可以进一步增强容器的安全性。在使用 Docker 之前,您需要先启动 Docker 守护进程,守护进程在后台运行,并负责容器的生命周期管理。例如,您可以使用 Buildah 构建自定义容器镜像,然后使用 Podman 运行这些镜像。Podman 的使用与 Docker 非常相似。例如,在内存不足的设备上运行容器时,Podman 可以提供更好的性能。
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 902
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
mysql事务(原理)
m0_74347016的博客
05-19 647
mysql事务原理
docker中安装jenkins,并在node和cloud上跑通基于源码控制SCM的pipeline
qq_29022265的博客
05-19 1159
从安装jenkins到创建jenkins的node和cloud,最后再将scm和FreeStyle两种流水线跑通。
用docker命令行操作远程的Dockerd daemon服务
zhang197093的博客
05-15 471
本地安装Dockerd服务太耗本机磁盘空间了,共用已有的Dockerd服务能够节省一部分空间。
jenkins插件之xunit
made4971的博客
05-17 347
填写一下命令,这个命令是docker中执行phpunit单元测试,请根据你的实际情况调整php执行文件路径。一章中phpunit.xml中配置的junit生成结果的地址需要保持一致。在测试报告列填写reports/junit.xml , 注意此处地址和。您的项目 - 配置 - Build Steps, 新增。您的项目 - 配置 - 构建后操作, 新增。Build Step选择 执行SHELL。超时时间根据实际情况配置。搜索xunit并安装。
大型制造企业IT蓝图规划及实施路线(140页PPT)
数据矿工-数据化运营博客
05-18 329
在需求分析部分,资料详细剖析了企业当前的IT状况,识别出存在的问题和挑战,为企业制定IT蓝图提供了坚实的基础。在架构设计环节,资料从企业的战略目标出发,设计了符合企业实际情况的IT架构蓝图,确保系统的稳定性和可扩展性。在系统选型方面,资料对比了市场上的主流产品和解决方案,为企业提供了科学、合理的选型建议。通过深入浅出的分析,结合丰富的案例和行业最佳实践,本PPT旨在帮助制造业企业构建高效、稳定、安全的IT基础设施,推动企业数字化转型,提升生产效率和管理水平。关注【数据化运营圈】下载更多数字化解决方案。
-bash: nginx: 未找到命令
08-15
如果你在运行 `-bash: nginx: 未找到命令` 错误时,可能是因为 Nginx 没有正确安装或者没有设置正确的环境变量。 首先,确保你已经正确安装了 Nginx。你可以使用以下命令来安装 Nginx: 对于 Ubuntu/Debian 系统:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值