針對像德勤這樣的專業(yè)滲透測試（Pentest）的場景中，為了確保網(wǎng)站的安全性并通過嚴格的安全審查，需要為這些安全頭配置更細致、專業(yè)的參數(shù)。

以下是對每個選項的建議以及設置值的詳細說明：

1. Strict-Transport-Security (HSTS)

確保所有通信強制通過 HTTPS 并防止降級攻擊。

推薦值：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

參數(shù)解釋：

• max-age=31536000：HSTS 緩存有效期設為 1 年（以秒為單位），確保長期有效。
• includeSubDomains：將 HSTS 策略擴展到所有子域名，避免主域和子域之間的攻擊風險。
• preload：將域名提交到 HSTS 預加載列表以防止首次訪問時的降級攻擊。需要在 HSTS Preload List 提交域名。

2. Content-Security-Policy (CSP)

定義允許加載的內(nèi)容來源，防止跨站腳本（XSS）和數(shù)據(jù)注入攻擊。

推薦值（需根據(jù)業(yè)務需求定制）：

add_header Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;

參數(shù)解釋：

• default-src 'none'：默認禁止加載任何外部資源。
• script-src 'self'：僅允許加載本域的腳本。
• style-src 'self'：僅允許加載本域的樣式。
• img-src 'self' data:：僅允許加載本域的圖片和 Base64 內(nèi)嵌的圖片。
• font-src 'self'：僅允許加載本域的字體。
• object-src 'none'：禁止加載插件內(nèi)容（如 Flash）。
• frame-ancestors 'none'：防止網(wǎng)站被嵌入到 iframe 中，防止點擊劫持攻擊。
• base-uri 'self'：限制 <base> 標簽的 URL。
• form-action 'self'：只允許表單提交到本站，防止 CSRF 攻擊。

注意：

• CSP 策略需與網(wǎng)站的實際需求相匹配，以避免破壞正常功能。
• 如果網(wǎng)站需要使用第三方資源（如 Google Fonts 或 CDN），需明確指定來源，例如：
  script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com;.

3. X-Content-Type-Options

防止 MIME 類型混淆攻擊，強制瀏覽器遵循 Content-Type 響應頭。

推薦值：

add_header X-Content-Type-Options "nosniff" always;

參數(shù)解釋：

• nosniff：禁止瀏覽器進行內(nèi)容類型嗅探，防止將非預期內(nèi)容（如腳本文件）執(zhí)行。

4. X-XSS-Protection

啟用瀏覽器的內(nèi)置 XSS 保護機制（某些現(xiàn)代瀏覽器已默認禁用該功能）。

推薦值：

add_header X-XSS-Protection "1; mode=block" always;

參數(shù)解釋：

• 1：啟用 XSS 保護。
• mode=block：檢測到潛在攻擊時，阻止頁面加載，而不是僅僅清理惡意內(nèi)容。

注意：

• 當前瀏覽器（如 Chrome 和 Edge）不再支持 XSS 保護頭部，建議將 CSP 作為首選防護方案。
• 如果目標用戶中仍有使用舊版瀏覽器的場景，可以啟用此頭。

其他安全頭建議（可選）：

1. Referrer-Policy

控制瀏覽器在跳轉(zhuǎn)時發(fā)送的引用信息。

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

2. Permissions-Policy（前身為 Feature-Policy）

限制瀏覽器功能（如地理位置、攝像頭、麥克風等）的訪問權(quán)限。

add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;

檢查安全頭的生效情況：

• 工具推薦：使用以下工具驗證頭部配置：
  • Security Headers
  • Mozilla Observatory
  使用 curl 查看響應頭：

  curl -I https://your-domain.com

到此這篇關于Nginx HttpHeader增加幾個關鍵的安全選項的文章就介紹到這了,更多相關Nginx HttpHeader安全選項內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論