Nginx弱扫和安全策略
最近在公司配置Nginx,一下子又变成了运维人员 ╮(╯▽╰)╭ , 这是我整理对 服务器弱扫 的一些 配置
js
server {
#监听443端口
listen 443;
#你的域名
server_name www.example.com; // 域名
ssl_certificate www.example.com.crt; // https 证书
ssl_certificate_key www.example.com.key; // https 证书
# 协议
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
# HSTS 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源
add_header Strict-Transport-Security "max-age=63072000;includeSubDomains" always;
# 安全策略
add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";
# 允许将"Expires"和"Cache-Control"标头字段以及任意字段添加到响应标头
add_header X-Content-Type-Options nosniff;
# 网站可以利用这一点来避免点击劫持攻击,确保其内容不会嵌入到其他网站中
# 防止 crsf 攻击
add_header X-Frame-Options SAMEORIGIN;
}注意
js
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;此命令可能导致 IE 浏览器打不开,需要 IE浏览器 配置一些配置
js
add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";此命令可能需要不断更新(可能),之前改过一次,导致 base64 的图片无法打开,而且这些命令 可以将 self 改成需要的域名IP等,比如如果直接设置 frame-ancestors 'self'; 可能导致 别的页面在内嵌Iframe 会直接打不开