Nginx配置HSTS

最新推荐文章于 2024-05-21 15:00:00 发布
最新推荐文章于 2024-05-21 15:00:00 发布
阅读量3.5k 收藏 2
点赞数
分类专栏: Linux常见的服务 文章标签: nginx https ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43117893/article/details/125487570
版权

HSTS

1、简介

HSTS的全称是HTTP Strict-Transport-Security,它是一个Web安全策略机制(web security policy mechanism)。
HSTS最早于2015年被纳入到ThoughtWorks技术雷达,并且在2016年的最新一期技术雷达里,它直接从“评估(Trial)”阶段进入到了“采用(Adopt)“阶段,这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施,并且ThoughtWorks已经将其应用于自己的项目。
HSTS最为核心的是一个HTTP响应头(HTTP Response Header)。正是它可以让浏览器得知,在接下来的一段时间内,当前域名只能通过HTTPS进行访问,并且在浏览器发现当前连接不安全的情况下,强制拒绝用户的后续访问要求。

2、hsts流程

3、如何配置HSTS

需要可被浏览器信任的HTTPS证书,一般来说如果有域名可以直接在let’s encrypt 获取免费的ssl证书,但需要域名备案等等条件才能正常访问,所以下文通过本地生成可信证书的方式用于测试环境。

3.1 生成证书

1、生成证书文件

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=MJY" -keyout CA-private.key -out CA-certificate.crt -reqexts v3_req -extensions v3_ca

openssl genrsa -out private.key 2048

openssl req -new -key private.key -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=MJY/CN=10.0.47.36” -sha256 -out private.csr
#最后的 CN=IP地址或域名

2、生成ext文件:


#复制如下内容到private.ext文件中

[ req ]
default_bits        = 1024
distinguished_name  = req_distinguished_name
req_extensions      = san
extensions          = san
[ req_distinguished_name ]
countryName         = CN
stateOrProvinceName = Definesys
localityName        = Definesys
organizationName    = Definesys
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = IP:127.0.0.1

#其中ip后内容,改成自己需要的ip地址(服务器ip或者域名)#最后使用 :wq 保存退出

3、生成CA证书

openssl x509 -req -days 3650 -in private.csr -CA CA-certificate.crt -CAkey CA-private.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN

4、安装
安装CA-certificate.crt证书

3.2 nginx配置

(1)在server里增加一行
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
(2)在http server里配置重定向

server {
        listen       80 ;
        listen       [::]:80;
        root         /var/www/html;
	return 301 https://$host;
        location / {
        index index.html index.php;
        autoindex on;
        }
        location ~ .php$ {
            root /var/www/html;
            fastcgi_pass 127.0.0.1:9000;
            fastcgi_index index.php;
            fastcgi_param  SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include fastcgi_params;
        }
    }

参考:
hsts简介

如何让openssl生成的SSL证书被浏览器认可 - mjybk - 博客园 (cnblogs.com)

王文秦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解码Nginx如何快速实现HSTS跳转
vTrus
12-17 237
什么是HSTS HSTS是国际互联网工程组织 IETF 正在推行一种新的Web安全协议,网站采用HSTS后,用户访问时无需手动在地址栏中输入 HTTPS,浏览器会自动采用 HTTPS 访问网站地址,从而保证用户始终访问到网站的加密链接,保护数据传输安全。 浏览器版本支持 Chromium和Google Chrome从4.0.211.0版本开始支持HSTS Firefox 4及以上版本 Opera 12及以上版本 Safari从OS X Mavericks起 Internet Explorer从Windows
NGINX: 配置 HSTS
weixin_30439031的博客
10-31 297
参考: [ 浅析 HSTS - 博客园 ] [ HTTP HSTS协议和 nginx - 运维生存时间] [ HSTS ] Header: Strict-Transport-Security Strict-Transport-Security 格式 Strict-Transport-Security: <max-age=NUMBER>[; includeSubDomains][; p...
Nginx配置Http响应头安全策略
热门推荐
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
关于nginx HTTP安全响应问题
Karka_的博客
05-21 1023
一、背景二、http基本安全配置2.1 host头攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应头缺失2.5 Content-Security-Policy响应头缺失2.6 Strict-Transport-Security响应头缺失2.7 X-Permitted-Cross-Domain-Policies响应头缺失2.8 Referrer-Policy响应头缺失。
HSTS详解,以及HSTS VS 301 redirect
zzhongcy的专栏
10-30 781
看到这篇文章,感觉不错,这里转载记录一下:https://juejin.cn/post/6844903865788137479本文主要是通过梳理一下相关概念,理清这两种配置的目的。
NginxHTTPS部署与安全性能优化
qq_53058639的博客
03-02 783
Nginx作为一款高性能的Web服务器和反向代理服务器,被广泛用于应用部署和负载均衡。在安全环保意识的逐渐提高下,HTTPS也成为现代Web应用中必不可少的一环。本篇文章将重点介绍NginxHTTPS部署和安全性能优化。
HTTP HSTS协议和 nginx
05-16 605
Netcraft 公司最近公布了他们检测SSL/TLS网站的研究,并指出只有仅仅5%的用户正确执行了HTTP严格传输安全HSTS。本文介绍nginx如何配置HSTS
nginx开启HSTS让浏览器强制跳转HTTPS访问详解
09-29
总结,通过Nginx配置HSTS,我们可以提升网站的安全性,防止中间人攻击。同时,了解HSTS的工作原理和配置方法,有助于更好地保护用户的数据安全。在实际应用中,除了开启HSTS,还应该结合其他安全策略,如禁用弱加密...
nginx https 配置
11-23
接下来,进入Nginx配置文件,通常位于`/etc/nginx/nginx.conf`或者`/etc/nginx/sites-available/default`,具体位置取决于你的操作系统和Nginx安装方式。在配置文件中,你需要为每个需要HTTPS支持的域创建一个新的...
Vue项目部署Nginx配置文件 SSL
08-11
在部署 Vue 项目时,Nginx 配置文件 `nginx.conf` 的关键设置如下: 1. **基本配置**: - `server` 块:定义一个监听特定端口(通常是80)的服务器实例。 ```nginx server { listen 80; server_name your...
nginx 配置ssl 示例
03-25
**Nginx 配置SSL详解** 在当前的互联网环境中,为了确保网站数据的安全传输,SSL(Secure Socket Layer)证书的使用变得越来越普遍。Nginx作为一款高性能的HTTP和反向代理服务器,支持配置SSL功能,以实现HTTPS加密...
nginx常用配置文件
11-30
本主题将详细探讨Nginx的常用配置文件及其相关知识点。 1. **主配置文件**:`nginx.conf` Nginx的核心配置文件通常位于`/etc/nginx/nginx.conf`(在不同的操作系统上位置可能不同)。它包含了全局块、事件块、http...
Nginx与安全有关的配置
icanflying的博客
12-03 5195
​​​​​​ 添加黑白名单 白名单配置 location /admin/ { allow 192.168.1.0/24; deny all; } 上边表示只允许192.168.1.0/24网段的主机访问,拒绝其他所有 也可以写成黑名单的方式禁止某些地址访问,允许其他所有,例如 location /ops-coffee/ { deny 192.168.1.0/24; allow all; } 更多的时候客户端请求会经过层层代理,我们
nginx-ingress通过http直接访问而不重定向到https
wangxi83的博客
03-15 7125
让ingress的访问可以通过http直接访问而不重定向到https
Nginx配置Http响应头安全策略_nginx content-security-policy
m0_60707660的博客
04-06 982
外链图片转存中…(img-k8i9jTyB-1712340605442)]
漏洞修复:Insecure Transport: HSTS not Set
CutelittleBo的博客
01-28 1825
描述 Http Strict Transport Security (HSTS) policy enables web applications to enforce web browsers to restrict communication with the server over an encrypted SSL/TLS connection for a set period. Policy is declared via special Strict Transport Security respo
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 8272
host头攻击漏洞,点击劫持漏洞,X-Download-Options响应头缺失,X-Permitted-Cross-Domain-Policies响应头缺失,Referrer-Policy响应头缺失,Strict-Transport-Security响应头缺失,Content-Security-Policy响应头缺失,X-XSS-Protection响应头缺失,X-Content-Type-Options响应头缺失,会话cookie中缺少HttpOnly属性......
【笔记】nginx - 安全设置
LawssssCat的博客
11-19 2077
持续监控和管理 Nginx 的错误日志,就能更好的了解对 web 服务器的请求,注意到任何遇到的错误,有助于发现任何攻击尝试,并确定您可以执行哪些操作来优化服务器性能。默认情况下,Nginx 的 server tokens 会在错误页面显示 Nginx 的版本号,这可能会导致信息泄露,未经授权的用户可能会了解你使用的nginx版本。这样可以防止点击劫持攻击。自动安装的 Nginx 会内置很多模块,并不是所有的模块都需要,对于非必须的模块可以禁用,如 autoindex module ,下面展示如何禁用。
nginx配置HSTS策略
最新发布
07-27
HTTP Strict Transport Security (HSTS) 是一种安全协议,它告诉浏览器始终通过HTTPS连接访问特定域名,防止中间人攻击。要在 Nginx 配置中启用 HSTS 策略,你需要在服务器块中添加以下几行: ```nginx server { listen 80; # 如果你的网站还监听80端口,需要先重定向到443 server_name example.com; return 301 https://$host$request_uri; # 首次请求时永久重定向到HTTPS # 添加以下两行配置启用HSTS策略 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; # max-age表示有效期,这里是1年,并指定子域也应用此策略(includeSubDomains),preload用于让Chrome等浏览器加入公共预加载列表 ssl_certificate /path/to/your.crt; # SSL证书路径 ssl_certificate_key /path/to/your.key; # 私钥路径 } ``` 然后,你可以把上面的配置放入你的 Nginx配置文件(如`/etc/nginx/nginx.conf`),或者将它们放在一个单独的 `.conf` 文件中,并通过 `include` 指令包含进来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值