由于安全问题一直是重中之重,这里整理下 nginx 的安全配置。文章大部分参考了 Best nginx configuration for improved security(and performance). 及 Jerry Qu,更多关于 HTTP 安全及性能可前往 Jerry Qu 查看。
该响应头用于禁止 nginx
在响应中报文中包含版本信息。因为具体的版本可能会存在未知 bug
。
server_tokens off;
该响应头用于是否允许浏览器加载 frame、 iframe、 object 等属性。可以使用该功能来避免 点击劫持
add_header X-Frame-Options SAMEORIGIN;
该指令用三个可用的配置
当设置为 DENY
时,站点禁止任何页面被嵌入。
当设置为 SAMEORIGIN
时,只允许加载同源的 fram/iframe/
object。
当设置为 ALLOW-FROM
时,只允许加载指定的源。
在我们通常的请求响应中,浏览器会根据 HTTP
响应的 Content-Type
来分辨响应的类型。如 text/html
代表 html
文档。 但当响应类型未指定或错误指定时,浏览会尝试启用 MIME-sniffing
来猜测资源的响应类型。
如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的 HTML 和 JavaScript 代码。由于未关闭资源的类型猜测,浏览器将直接执行嵌入的 JavaScript 代码,而不是显示图片。
add_header X-Content-Type-Options nosniff;
用来指定浏览器对未指定或错误指定Content-Type
资源真正类型的猜测行为,nosniff
表示不允许任何猜测。(Jerry Qu)
这个响应头的值只能是 nosniff
,可用于 IE8+
和 Chrome
。
add_header X-XSS-Protection "1; mode=block";
该响应头是用于防范及过滤 XSS
的。可用的几个指令如下:
X-XSS-Protection: 0
X-XSS-Protection: 1
X-XSS-Protection: 1; mode=block
X-XSS-Protection: 1; report=<reporting-uri>
说明:
0
,禁用 XSS
过滤1
,开启 XSS
过滤1; mode=block
,开启 XSS
过滤,并且若检查到 XSS
攻击,停止渲染页面。X-XSS-Protection: 1; report=<reporting-uri>
,开启 XSS
过滤,并且若检查到 XSS
攻击,将使用指导的 url
来发送报告。该响应头主要用于规定页面可以加载那些资源(css/js/img 等)。看一个简单的配置
# 定义所有资源文件的默认加载规则为self,表示允许
# 相同来源的内容(相同的协议、域名和端口)
add_header Content-Security-Policy: default-src 'self';
更多 Content-Security-Policy
的指令及规则及介绍可参考 Jerry Qu
的 Content Security Policy 介绍。
Strict-Transport-Security,简称 HSTS。该响应头用于标识浏览器用 HTTPS
替代 HTTP
的方式去访问目标站点。
我们知道HTTPS
相对于HTTP
有更好的安全性,而很多HTTPS
网站,也可以通过HTTP
来访问。开发人员的失误或者用户主动输入地址,都有可能导致用户以HTTP
访问网站,降低了安全性。一般,我们会通过Web Server
发送301/302
重定向来解决这个问题。 (Jerry Qu)
我们可以使用下面方式启用 HSTH
。
add_header strict-transport-security: max-age=16070400; includeSubDomains;
当用户第一次访问后,将返回一个包含了 strict-transport-security
响应头的字段。他将告诉浏览器,在接下来的 16070400
秒内,当前网站的所有请求都强制使用 HTTPS
的方式访问。即使用户手动输入 http://
,浏览器也会强制使用 HTTPS
方式访问。
参数 includeSubDomains
是可选的,当指定了该参数,所有子域名将采用同样的 HSTS
规则。
可以看到HSTS
可以很好的解决HTTPS
降级攻击,但是对于HSTS
生效前的首次HTTP
请求,依然无法避免被劫持。浏览器厂商们为了解决这个问题,提出了HSTS Preload List
方案:内置一份可以定期更新的列表,对于列表中的域名,即使用户之前没有访问过,也会使用HTTPS
协议。 (Jerry Qu)
如果你想把自己的域名加入这个列表,可通过 hstspreloa.org 查看是否满足申请条件。更多关于 HSTS 的配置,可查看 关于启用 HTTPS 的一些经验分享。
本文为 Ellison 个人笔记,文章来自于网络或个人总结,转载无需和我联系,但请注明来自 Ellison`s Blog https://www.ruoxiaozh.com
Laravel 框架中前端如何使用 CSRF Laravel 5.6 单设备登录 Laravel 5.6 使用 UUID CURL 类封装 Laravel Eloquent 必备的实用技巧 提高安全性的最佳 Nginx 配置 Vagrant SSH 的登录总结 Laravel 跨域解决方案 CORS 跨域的概念与 TP5 的解决方案 MySQL 千万级大数据 SQL 查询优化技巧详解 数据库 30 条军规 JavaScript 判断访问客户端是 PC 端还是移动端 PHP 的笛卡尔积算法实现 API 文档编写 - APIDOC Linux MySQL 定时备份并上传到 git 仓库 Laravel 5.5 之 Api Resource Laravel 实现文章浏览次数统计 如何在 Laravel 项目中使用 Swagger 构建 Api 文档 如何编写基于 Swagger-PHP 的 API 文档 网站加载动画 Markdown 语法说明 见过世面的人,从不说这3句话 PHP7 新特性 - 完结篇 阿里云 Redis 开发规范 Nginx 负载均衡设置 PHP 生成随机红包算法 规范的 README 需要哪些内容 PHP 代码规范之 PSR-2 Ubuntu 14/16 下的 Laravel LNMP 线上环境自动部署脚本 PHP 闭包 不会,找人教你就够了? PHP 新特性 - 命名空间