前言

本文主要給大家介紹了關(guān)于Laravel 5.5官方推薦的Nginx配置的想內(nèi)容，分享出來(lái)供大家參考學(xué)習(xí)，下面話不多說(shuō)，來(lái)一起看看詳細(xì)的介紹把。

Laravel 5.5 版本官方放出了 Nginx 服務(wù)器的配置，中文文檔：服務(wù)器配置 Nginx

server {
 listen 80;
 server_name example.com;
 root /example.com/public;

 add_header X-Frame-Options "SAMEORIGIN"; 
 add_header X-XSS-Protection "1; mode=block"; 
 add_header X-Content-Type-Options "nosniff"; 

 index index.html index.htm index.php;

 charset utf-8;

 location / {
 try_files $uri $uri/ /index.php?$query_string;
 }

 location = /favicon.ico { access_log off; log_not_found off; } 
 location = /robots.txt { access_log off; log_not_found off; } 

 error_page 404 /index.php;

 location ~ \.php$ {
 fastcgi_split_path_info ^(.+\.php)(/.+)$;
 fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
 fastcgi_index index.php;
 include fastcgi_params;
 }

 location ~ /\.(?!well-known).* {
 deny all;
 }
}

自己并不擅長(zhǎng) Nginx，相信很多朋友跟我一樣，讓我們一起學(xué)習(xí)下 Nginx 的相關(guān)知識(shí) : )

1. add_header X-Frame-Options "SAMEORIGIN";

X-Frame-Options 響應(yīng)頭是用來(lái)給瀏覽器指示允許一個(gè)頁(yè)面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標(biāo)記。網(wǎng)站可以使用此功能，來(lái)確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去，也從而避免了點(diǎn)擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個(gè)值:

DENY

表示該頁(yè)面不允許在 frame 中展示，即便是在相同域名的頁(yè)面中嵌套也不允許。
SAMEORIGIN

表示該頁(yè)面可以在相同域名頁(yè)面的 frame 中展示。
ALLOW-FROM uri

表示該頁(yè)面可以在指定來(lái)源的 frame 中展示。
該響應(yīng)頭設(shè)置應(yīng)該比較常見，之前國(guó)外客戶的安全團(tuán)隊(duì)有使用工具掃描我們項(xiàng)目的相關(guān)漏洞，其中就有這個(gè) clickjacking 的問(wèn)題，最終也是通過(guò)該設(shè)置來(lái)解決此問(wèn)題。

2. add_header X-XSS-Protection "1; mode=block";

XSS 是跨站腳本攻擊，是比較常見的網(wǎng)絡(luò)攻擊手段，改字段指示瀏覽器是否為當(dāng)前頁(yè)面開啟瀏覽器內(nèi)建的 XSS 過(guò)濾機(jī)制。 1 表示允許過(guò)濾器，mode=block 指示瀏覽器在檢測(cè)到 XSS 攻擊后禁止加載整個(gè)頁(yè)面。

參考文章： 先知XSS挑戰(zhàn)賽 知識(shí)點(diǎn)提要

3. add_header X-Content-Type-Options "nosniff";

該響應(yīng)頭設(shè)置禁用瀏覽器對(duì) Content-Type 類型進(jìn)行猜測(cè)的行為。因?yàn)楹芏嗲闆r下服務(wù)器并沒有很好的配置 Content-Type 類型，因此瀏覽器會(huì)根據(jù)文檔的數(shù)據(jù)特征來(lái)確定類型，比如攻擊者可以讓原本解析為圖片的請(qǐng)求被解析為 JavaScript。

我們發(fā)現(xiàn)以上三個(gè)比較常見的防攻擊配置，還是非常實(shí)用的，建議使用，之前我們的服務(wù)器只使用了 add_header X-Frame-Options "SAMEORIGIN"; 配置。

4. 不記錄 favicon.ico 和 robots.txt 日志

 location = /favicon.ico { access_log off; log_not_found off; }
 location = /robots.txt { access_log off; log_not_found off; }

favicon.ico 網(wǎng)站頭像，默認(rèn)是瀏覽器標(biāo)簽頁(yè)上網(wǎng)站小圖標(biāo)以及收藏時(shí)顯示的小圖標(biāo)。

如果未在html header中指定 favicon.ico 那么瀏覽器默認(rèn)會(huì)去訪問(wèn) http://xxx.com/favicon.ico , 不存在此文件的話，那么會(huì)導(dǎo)致404，同時(shí)會(huì)記錄到 access_log 和 error_log 中。這種記錄到日志文件中是沒有必要性的，因此可以取消。

robots.txt 通常是搜索引擎蜘蛛（爬蟲）會(huì)去爬取的文件，在行業(yè)規(guī)范中，蜘蛛去爬取一個(gè)網(wǎng)站的時(shí)候會(huì)首先爬取該文件來(lái)獲知網(wǎng)站中哪些目錄文件不需要爬取，在 SEO 中 robots.txt 的正確配置是對(duì) SEO 非常有效果的。該文件也確實(shí)沒有必要記錄到日志中，而且大部分網(wǎng)站并不存在 robots.txt 文件。

以上這些配置是可以用在大部分的網(wǎng)站上的，不止是 Nginx 服務(wù)器，相信 Apache 服務(wù)器也有相關(guān)的配置，如果你正在用其他web服務(wù)器，以上類似的配置也建議使用。

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，如果有疑問(wèn)大家可以留言交流，謝謝大家對(duì)腳本之家的支持。

最新評(píng)論