欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Nginx?HttpHeader增加幾個關(guān)鍵的安全選項問題小結(jié)

 更新時間:2024年12月07日 09:04:03   作者:Eric zhou  
本文給大家介紹Nginx?HttpHeader增加幾個關(guān)鍵的安全選項問題小結(jié),結(jié)合實例代碼給大家介紹的非常詳細(xì),感興趣的朋友一起看看吧

針對像德勤這樣的專業(yè)滲透測試(Pentest)的場景中,為了確保網(wǎng)站的安全性并通過嚴(yán)格的安全審查,需要為這些安全頭配置更細(xì)致、專業(yè)的參數(shù)。

以下是對每個選項的建議以及設(shè)置值的詳細(xì)說明:

1. Strict-Transport-Security (HSTS)

確保所有通信強制通過 HTTPS 并防止降級攻擊。

推薦值:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

參數(shù)解釋:

  • max-age=31536000:HSTS 緩存有效期設(shè)為 1 年(以秒為單位),確保長期有效。
  • includeSubDomains:將 HSTS 策略擴展到所有子域名,避免主域和子域之間的攻擊風(fēng)險。
  • preload:將域名提交到 HSTS 預(yù)加載列表以防止首次訪問時的降級攻擊。需要在 HSTS Preload List 提交域名。

2. Content-Security-Policy (CSP)

定義允許加載的內(nèi)容來源,防止跨站腳本(XSS)和數(shù)據(jù)注入攻擊。

推薦值(需根據(jù)業(yè)務(wù)需求定制):

add_header Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;

參數(shù)解釋:

  • default-src 'none':默認(rèn)禁止加載任何外部資源。
  • script-src 'self':僅允許加載本域的腳本。
  • style-src 'self':僅允許加載本域的樣式。
  • img-src 'self' data::僅允許加載本域的圖片和 Base64 內(nèi)嵌的圖片。
  • font-src 'self':僅允許加載本域的字體。
  • object-src 'none':禁止加載插件內(nèi)容(如 Flash)。
  • frame-ancestors 'none':防止網(wǎng)站被嵌入到 iframe 中,防止點擊劫持攻擊。
  • base-uri 'self':限制 <base> 標(biāo)簽的 URL。
  • form-action 'self':只允許表單提交到本站,防止 CSRF 攻擊。

注意:

  • CSP 策略需與網(wǎng)站的實際需求相匹配,以避免破壞正常功能。
  • 如果網(wǎng)站需要使用第三方資源(如 Google Fonts 或 CDN),需明確指定來源,例如:
    script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com;.

3. X-Content-Type-Options

防止 MIME 類型混淆攻擊,強制瀏覽器遵循 Content-Type 響應(yīng)頭。

推薦值:

add_header X-Content-Type-Options "nosniff" always;

參數(shù)解釋:

  • nosniff:禁止瀏覽器進(jìn)行內(nèi)容類型嗅探,防止將非預(yù)期內(nèi)容(如腳本文件)執(zhí)行。

4. X-XSS-Protection

啟用瀏覽器的內(nèi)置 XSS 保護(hù)機制(某些現(xiàn)代瀏覽器已默認(rèn)禁用該功能)。

推薦值:

add_header X-XSS-Protection "1; mode=block" always;

參數(shù)解釋:

  • 1:啟用 XSS 保護(hù)。
  • mode=block:檢測到潛在攻擊時,阻止頁面加載,而不是僅僅清理惡意內(nèi)容。

注意:

  • 當(dāng)前瀏覽器(如 Chrome 和 Edge)不再支持 XSS 保護(hù)頭部,建議將 CSP 作為首選防護(hù)方案。
  • 如果目標(biāo)用戶中仍有使用舊版瀏覽器的場景,可以啟用此頭。

其他安全頭建議(可選):

1. Referrer-Policy

控制瀏覽器在跳轉(zhuǎn)時發(fā)送的引用信息。

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

2. Permissions-Policy(前身為 Feature-Policy)

限制瀏覽器功能(如地理位置、攝像頭、麥克風(fēng)等)的訪問權(quán)限。

add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;

檢查安全頭的生效情況:

到此這篇關(guān)于Nginx HttpHeader增加幾個關(guān)鍵的安全選項的文章就介紹到這了,更多相關(guān)Nginx HttpHeader安全選項內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Nginx服務(wù)器下防盜鏈的方法介紹

    Nginx服務(wù)器下防盜鏈的方法介紹

    這篇文章主要介紹了Nginx服務(wù)器下防盜鏈的方法介紹,主要通過修改服務(wù)器的配置文件來實現(xiàn),需要的朋友可以參考下
    2015-07-07
  • Nginx配置?location模塊實現(xiàn)路由(反向代理、重定向)功能

    Nginx配置?location模塊實現(xiàn)路由(反向代理、重定向)功能

    本文主要介紹了Nginx配置?location模塊實現(xiàn)路由(反向代理、重定向)功能,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2022-04-04
  • Nginx+Tomcat負(fù)載均衡集群安裝配置案例詳解

    Nginx+Tomcat負(fù)載均衡集群安裝配置案例詳解

    Nginx是一款非常優(yōu)秀的http服務(wù)器軟件,它能夠支持高達(dá)50000個并發(fā)連接數(shù)的相應(yīng),Nginx+Tomcat負(fù)載均衡集案列是應(yīng)用于生產(chǎn)環(huán)境的一套可靠的Web站點解決方案,對Nginx Tomcat負(fù)載均衡集群相關(guān)知識感興趣的朋友一起看看吧
    2021-10-10
  • 配置Nginx服務(wù)器展示隨機首頁與空白圖片的方法

    配置Nginx服務(wù)器展示隨機首頁與空白圖片的方法

    這篇文章主要介紹了配置Nginx服務(wù)器展示隨機首頁與空白圖片的方法,分別用到了ngx_http_random_index_module模塊和ngx_http_empty_gif_module模塊,需要的朋友可以參考下
    2016-01-01
  • Nginx負(fù)載均衡健康檢查性能提升

    Nginx負(fù)載均衡健康檢查性能提升

    這篇文章主要為大家介紹了Nginx負(fù)載均衡健康檢查性能提升,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-10-10
  • 如何使用k8s部署nginx服務(wù)

    如何使用k8s部署nginx服務(wù)

    Deployment是用來定義和管理 Pod 的高級控制器,它描述了應(yīng)用程序的期望狀態(tài),例如需要運行的 Pod 數(shù)量、使用的鏡像版本等信息,本文給大家介紹如何使用k8s部署nginx服務(wù),感興趣的朋友跟隨小編一起看看吧
    2024-06-06
  • nginx日志切割/分割之按天生成及定期刪除日志

    nginx日志切割/分割之按天生成及定期刪除日志

    這篇文章主要給大家介紹了關(guān)于nginx日志切割/分割之按天生成及定期刪除日志的相關(guān)資料,日志文件大會影響訪問的速度和查找難度,文中給出了詳細(xì)的代碼示例,需要的朋友可以參考下
    2023-08-08
  • Nginx結(jié)合Openresty通過Lua+Redis實現(xiàn)動態(tài)封禁IP

    Nginx結(jié)合Openresty通過Lua+Redis實現(xiàn)動態(tài)封禁IP

    為了封禁某些爬蟲或者惡意用戶對服務(wù)器的請求,我們需要建立一個動態(tài)的 IP 黑名單,本文主要介紹了Nginx結(jié)合Openresty通過Lua+Redis實現(xiàn)動態(tài)封禁IP,感興趣的可以了解一下
    2023-11-11
  • Nginx配置多個HTTPS域名的方法

    Nginx配置多個HTTPS域名的方法

    本篇文章主要介紹了Nginx配置多個HTTPS域名的方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-07-07
  • 一文了解nginx HTTP安全響應(yīng)問題

    一文了解nginx HTTP安全響應(yīng)問題

    一些網(wǎng)站系統(tǒng)會經(jīng)常遭到各類XSS攻擊、點劫持等,從而造成重要信息的泄露以及服務(wù)器安全問題,本文就來介紹一下,感興趣的可以了解一下
    2023-11-11

最新評論