Nginx: 弱扫和安全策略

Nginx弱扫和安全策略

最近在公司配置Nginx,一下子又变成了运维人员 ╮(╯▽╰)╭ , 这是我整理对 服务器弱扫 的一些 配置

js 复制代码
server {
	  #监听443端口
	  listen 443;
	  #你的域名
    server_name         www.example.com; // 域名
    ssl_certificate     www.example.com.crt; // https 证书
    ssl_certificate_key www.example.com.key; // https 证书

    # 协议
    ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
    
    ssl_prefer_server_ciphers off;

    # HSTS 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源
    add_header Strict-Transport-Security "max-age=63072000;includeSubDomains" always;

    # 安全策略
    add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";
  
    # 允许将"Expires"和"Cache-Control"标头字段以及任意字段添加到响应标头
    add_header X-Content-Type-Options nosniff;
  
    # 网站可以利用这一点来避免点击劫持攻击,确保其内容不会嵌入到其他网站中
    # 防止 crsf 攻击
    add_header X-Frame-Options SAMEORIGIN;
}

注意

js 复制代码
ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;

此命令可能导致 IE 浏览器打不开,需要 IE浏览器 配置一些配置

js 复制代码
 add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";

此命令可能需要不断更新(可能),之前改过一次,导致 base64 的图片无法打开,而且这些命令 可以将 self 改成需要的域名IP等,比如如果直接设置 frame-ancestors 'self'; 可能导致 别的页面在内嵌Iframe 会直接打不开

参考

HTTP security 文档

相关推荐
jarreyer7 小时前
【AI Agent】大模型自动化载体
运维·自动化
xixingzhe27 小时前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
翼龙云_cloud8 小时前
阿里云国际代理商:阿里云 ECS 全维度监控配置教程
运维·阿里云·云计算·监控
笑锝没心没肺8 小时前
fail2ban工具安装配置及使用
linux·运维·服务器
zt1985q9 小时前
本地部署开源智能家居集成平台 ioBroker 并实现外部访问( Windows 版本)
运维·服务器·智能家居
大卡片10 小时前
linux内核驱动开发
linux·运维·驱动开发
心心喵11 小时前
[linux] nohup和pm2的区别 进程保活
linux·运维·服务器
NGINX开源社区12 小时前
F5 NGINX Ingress Controller 5.3.0 新增功能
运维
SelectDB13 小时前
Apache Doris 在 AgentLogsBench 中领先,支撑 Agent 可观测性生产负载
运维·数据库·agent
荣-14 小时前
从两天到十几分钟:一套 YT Crash 自动化分析工具完整工程复盘
大数据·运维·自动化