在 Web 安全防护中,配置 HTTP 安全响应头(Security Headers) 是成本最低、效果最好的防御手段之一。它们通过在 HTTP 响应中加入特定的指令,告知浏览器开启内置的安全保护机制,从而有效防御 XSS(跨站脚本) 、Clickjacking(点击劫持) 、Mitm(中间人攻击) 等常见威胁。
以下是 Nginx 中最推荐配置的 6 个核心安全响应头及其详细介绍。
1. 核心安全响应头详解
| 响应头名称 | 核心作用 | 推荐配置值 | 防御的攻击类型 |
|---|---|---|---|
Strict-Transport-Security (HSTS) |
强制浏览器只能通过 HTTPS 访问该网站,杜绝 HTTP 降级攻击。 | max-age=31536000; includeSubDomains; preload |
中间人劫持、SSL 剥离 |
X-Frame-Options |
控制当前页面是否允许被嵌入到 <iframe> 中。 |
SAMEORIGIN(仅允许同源嵌入) |
点击劫持 (Clickjacking) |
X-Content-Type-Options |
禁用浏览器的 MIME 类型猜测(Sniffing),强制严格按照 Content-Type 渲染。 | nosniff |
恶意文件伪装、XSS 攻击 |
Content-Security-Policy (CSP) |
极其强大的安全策略,限制浏览器只能加载特定受信源的资源(脚本、样式、图片等)。 | 需根据业务定制,如:default-src 'self'; script-src 'self' 'unsafe-inline'; |
XSS 攻击、数据注入 |
Referrer-Policy |
控制用户点击链接离开当前网站时,重定向请求中带有的 Referer 隐私信息量。 |
no-referrer-when-downgrade 或 strict-origin-when-cross-origin |
用户隐私泄露、信息窃取 |
Permissions-Policy |
限制浏览器在当前页面可以使用哪些硬件或敏感 API(如摄像头、麦克风、地理位置)。 | geolocation=(), microphone=(), camera=() |
隐私窃取、越权访问 |
2. Nginx 配置标准模板
依托我们在上一次对话中提到的模块化最佳实践 ,建议将这些安全响应头统一写在一个独立的文件中(例如 /etc/nginx/snippets/security-headers.conf),内容如下:
nginx
# 1. 开启 HSTS(有效期 1 年,包含子域名,允许预加载)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# 2. 防御点击劫持:只允许同域名的 iframe 嵌套
add_header X-Frame-Options "SAMEORIGIN" always;
# 3. 禁用 MIME 猜测:防止黑客将恶意脚本伪装成图片上传并执行
add_header X-Content-Type-Options "nosniff" always;
# 4. 限制 Referer 信息传递
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
# 5. 权限控制:禁用不必要的浏览器硬件调用
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
# 6. 内容安全策略 (CSP) ------ 这是一个基础模版,复杂的网站需要根据实际引用的外链进行调整
add_header Content-Security-Policy "default-src 'self' *.yourdomain.com; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data:; frame-ancestors 'self';" always;⚠️ 关键细节:为什么要加
always?Nginx 默认只在返回
200, 201, 204, 301, 302等正常状态码时才会添加自定义响应头。如果发生404或500报错,这些安全头就会丢失。加上always参数可以确保无论返回什么状态码,安全响应头都雷打不动地存在。
然后在你的虚拟主机(如 sites-available/example.com.conf)中一键引入:
nginx
server {
listen 443 ssl;
server_name example.com;
# 一键加载安全响应头
include snippets/security-headers.conf;
location / {
proxy_pass http://localhost:8080;
}
}3. 配置后的验证与测试
配置完成后,请务必执行以下两步验证:
- 语法检查并重载:
bash
nginx -t && nginx -s reload- 安全评级测试 :
你可以访问国际权威的线上测试网站 Security Headers,输入你的域名进行扫描。如果严格按照上述配置,你的网站安全评级可以直接拿到 A 甚至 A+。
在这些安全头中,Content-Security-Policy (CSP) 的配置是最容易"翻车"的,如果策略写得过于严格,可能会导致你网站原本正常的外链图片、第三方统计脚本(如百度统计、谷歌分析)被浏览器直接拦截。