Nginx与安全相关的几个配置

运维 网站安全
随着网络威胁的不断演变,保护网站免受潜在攻击变得尤为重要。Nginx,作为一款强大而灵活的 web 服务器和反向代理服务器,提供了一系列的安全相关参数,可以帮助加固网站安全性。

随着网络威胁的不断演变,保护网站免受潜在攻击变得尤为重要。Nginx,作为一款强大而灵活的 web 服务器和反向代理服务器,提供了一系列的安全相关参数,可以帮助加固网站安全性。在这篇文章中,我们将介绍一些基于 Nginx 的安全参数配置,以确保您的网站更加健壮和安全。

1. 隐藏服务器版本信息

为了降低攻击者获取系统信息的可能性,我们可以通过设置 server_tokens 来隐藏服务器版本信息。在 Nginx 配置中添加如下设置:

server_tokens off;

2. SSL/TLS 安全配置

对于使用 HTTPS 的网站,SSL/TLS 配置至关重要。确保使用强密码和安全的协议版本。示例配置如下:

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384';
ssl_prefer_server_ciphers off;

3. 防止点击劫持

通过配置 X-Frame-Options 可以防止网页被嵌套在 <frame>、<iframe> 或 <object> 中,从而防止点击劫持攻击。

add_header X-Frame-Options "SAMEORIGIN";

4. 防止跨站脚本攻击 (XSS)

使用 X-XSS-Protection 头启用浏览器内置的 XSS 过滤器。

add_header X-XSS-Protection "1; mode=block";

5. 防止 MIME 类型嗅探

通过设置 X-Content-Type-Options 防止浏览器执行某些文件类型的 MIME 类型嗅探。

add_header X-Content-Type-Options "nosniff";

6. 限制请求大小和超时

为了防止恶意请求或慢速攻击,设置请求头大小和请求超时时间。

client_max_body_size 10M;
client_body_timeout 12s;

7. 防止浏览器缓存敏感信息

这组配置禁止浏览器对响应进行缓存,确保每次请求都会向服务器验证资源的有效性。

add_header Cache-Control "no-cache, no-store, must-revalidate";
add_header Expires "0";

8. 设置安全的 Cookie

通过设置安全的 Cookie,仅允许通过 HTTPS 传输,且不可通过 JavaScript 访问,提高对会话劫持和 XSS 攻击的防护。

add_header Set-Cookie "cookie_name=value; Path=/; Secure; HttpOnly";

9. 处理跨域请求

以上配置用于处理跨域请求,确保安全地允许指定域的跨域请求,并处理预检请求(OPTIONS 请求)。

if ($request_method = 'OPTIONS') {
    add_header 'Access-Control-Allow-Origin' 'https://your-allowed-domain.com';
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
    add_header 'Access-Control-Max-Age' 1728000;
    add_header 'Content-Type' 'text/plain; charset=utf-8';
    add_header 'Content-Length' 0;
    return 204;
}
if ($request_method = 'POST') {
    add_header 'Access-Control-Allow-Origin' 'https://your-allowed-domain.com' always;
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range' always;
    add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always;
}   
if ($request_method = 'GET') {
    add_header 'Access-Control-Allow-Origin' 'https://your-allowed-domain.com' always;
    add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS' always;
    add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range' always;
    add_header 'Access-Control-Expose-Headers' 'Content-Length,Content-Range' always;
}

以上是一些基本的 Nginx 安全配置示例,但请注意,这只是一个起点。根据您的实际需求和安全最佳实践,可以进一步调整和配置。请务必仔细查阅 Nginx 文档以获取最新的安全建议,并定期审查和更新您的安全策略,以确保网站的持续安全性。

责任编辑:华轩 来源: 运维笑谈
相关推荐

2010-03-30 14:22:01

Nginx静态文件

2010-03-29 10:38:36

Nginx配置

2010-03-25 18:17:04

Nginx配置

2014-03-28 14:20:04

2010-03-30 18:04:45

Nginx http服

2023-02-20 17:12:08

2010-03-30 10:24:51

Nginx+PHP配置

2018-01-26 10:49:19

2010-02-25 13:40:17

WCF禁用安全配置

2013-07-15 10:39:43

2018-02-27 11:08:11

2010-02-24 09:28:37

WCF安全配置

2022-04-08 08:40:36

Nginx日志服务器

2010-03-30 15:25:42

Linux Nginx

2022-07-19 15:13:13

加密货币安全数字资产

2013-03-12 10:36:51

2020-05-12 09:02:29

Linux磁盘硬盘

2018-03-22 13:01:58

2010-03-30 19:23:56

Nginx日志切割

2013-06-05 13:31:25

点赞
收藏

51CTO技术栈公众号