Nginx?HttpHeader增加幾個關(guān)鍵的安全選項問題小結(jié)
針對像德勤這樣的專業(yè)滲透測試(Pentest)的場景中,為了確保網(wǎng)站的安全性并通過嚴(yán)格的安全審查,需要為這些安全頭配置更細(xì)致、專業(yè)的參數(shù)。
以下是對每個選項的建議以及設(shè)置值的詳細(xì)說明:
1. Strict-Transport-Security (HSTS)
確保所有通信強制通過 HTTPS 并防止降級攻擊。
推薦值:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
參數(shù)解釋:
max-age=31536000
:HSTS 緩存有效期設(shè)為 1 年(以秒為單位),確保長期有效。includeSubDomains
:將 HSTS 策略擴展到所有子域名,避免主域和子域之間的攻擊風(fēng)險。preload
:將域名提交到 HSTS 預(yù)加載列表以防止首次訪問時的降級攻擊。需要在 HSTS Preload List 提交域名。
2. Content-Security-Policy (CSP)
定義允許加載的內(nèi)容來源,防止跨站腳本(XSS)和數(shù)據(jù)注入攻擊。
推薦值(需根據(jù)業(yè)務(wù)需求定制):
add_header Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;
參數(shù)解釋:
default-src 'none'
:默認(rèn)禁止加載任何外部資源。script-src 'self'
:僅允許加載本域的腳本。style-src 'self'
:僅允許加載本域的樣式。img-src 'self' data:
:僅允許加載本域的圖片和 Base64 內(nèi)嵌的圖片。font-src 'self'
:僅允許加載本域的字體。object-src 'none'
:禁止加載插件內(nèi)容(如 Flash)。frame-ancestors 'none'
:防止網(wǎng)站被嵌入到 iframe 中,防止點擊劫持攻擊。base-uri 'self'
:限制<base>
標(biāo)簽的 URL。form-action 'self'
:只允許表單提交到本站,防止 CSRF 攻擊。
注意:
- CSP 策略需與網(wǎng)站的實際需求相匹配,以避免破壞正常功能。
- 如果網(wǎng)站需要使用第三方資源(如 Google Fonts 或 CDN),需明確指定來源,例如:
script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com;
.
3. X-Content-Type-Options
防止 MIME 類型混淆攻擊,強制瀏覽器遵循 Content-Type
響應(yīng)頭。
推薦值:
add_header X-Content-Type-Options "nosniff" always;
參數(shù)解釋:
nosniff
:禁止瀏覽器進(jìn)行內(nèi)容類型嗅探,防止將非預(yù)期內(nèi)容(如腳本文件)執(zhí)行。
4. X-XSS-Protection
啟用瀏覽器的內(nèi)置 XSS 保護(hù)機制(某些現(xiàn)代瀏覽器已默認(rèn)禁用該功能)。
推薦值:
add_header X-XSS-Protection "1; mode=block" always;
參數(shù)解釋:
1
:啟用 XSS 保護(hù)。mode=block
:檢測到潛在攻擊時,阻止頁面加載,而不是僅僅清理惡意內(nèi)容。
注意:
- 當(dāng)前瀏覽器(如 Chrome 和 Edge)不再支持 XSS 保護(hù)頭部,建議將 CSP 作為首選防護(hù)方案。
- 如果目標(biāo)用戶中仍有使用舊版瀏覽器的場景,可以啟用此頭。
其他安全頭建議(可選):
1. Referrer-Policy
控制瀏覽器在跳轉(zhuǎn)時發(fā)送的引用信息。
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
2. Permissions-Policy(前身為 Feature-Policy)
限制瀏覽器功能(如地理位置、攝像頭、麥克風(fēng)等)的訪問權(quán)限。
add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;
檢查安全頭的生效情況:
- 工具推薦:使用以下工具驗證頭部配置:
使用
curl
查看響應(yīng)頭:curl -I https://your-domain.com
到此這篇關(guān)于Nginx HttpHeader增加幾個關(guān)鍵的安全選項的文章就介紹到這了,更多相關(guān)Nginx HttpHeader安全選項內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
相關(guān)文章
Nginx配置?location模塊實現(xiàn)路由(反向代理、重定向)功能
本文主要介紹了Nginx配置?location模塊實現(xiàn)路由(反向代理、重定向)功能,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧2022-04-04Nginx+Tomcat負(fù)載均衡集群安裝配置案例詳解
Nginx是一款非常優(yōu)秀的http服務(wù)器軟件,它能夠支持高達(dá)50000個并發(fā)連接數(shù)的相應(yīng),Nginx+Tomcat負(fù)載均衡集案列是應(yīng)用于生產(chǎn)環(huán)境的一套可靠的Web站點解決方案,對Nginx Tomcat負(fù)載均衡集群相關(guān)知識感興趣的朋友一起看看吧2021-10-10Nginx結(jié)合Openresty通過Lua+Redis實現(xiàn)動態(tài)封禁IP
為了封禁某些爬蟲或者惡意用戶對服務(wù)器的請求,我們需要建立一個動態(tài)的 IP 黑名單,本文主要介紹了Nginx結(jié)合Openresty通過Lua+Redis實現(xiàn)動態(tài)封禁IP,感興趣的可以了解一下2023-11-11