Nginx: 弱扫和安全策略
2024-01-07 18:06:28
Nginx弱扫和安全策略
最近在公司配置Nginx
,一下子又变成了运维人员 ╮(╯▽╰)╭
, 这是我整理对 服务器弱扫
的一些 配置
server {
#监听443端口
listen 443;
#你的域名
server_name www.example.com; // 域名
ssl_certificate www.example.com.crt; // https 证书
ssl_certificate_key www.example.com.key; // https 证书
# 协议
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
# HSTS 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源
add_header Strict-Transport-Security "max-age=63072000;includeSubDomains" always;
# 安全策略
add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";
# 允许将“Expires”和“Cache-Control”标头字段以及任意字段添加到响应标头
add_header X-Content-Type-Options nosniff;
# 网站可以利用这一点来避免点击劫持攻击,确保其内容不会嵌入到其他网站中
# 防止 crsf 攻击
add_header X-Frame-Options SAMEORIGIN;
}
注意
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
此命令可能导致 IE
浏览器打不开,需要 IE浏览器
配置一些配置
add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";
此命令可能需要不断更新(可能
),之前改过一次
,导致 base64
的图片无法打开,而且这些命令
可以将 self
改成需要的域名IP等,比如如果直接设置 frame-ancestors 'self';
可能导致 别的页面在内嵌Iframe
会直接打不开
参考
文章来源:https://blog.csdn.net/weixin_38992765/article/details/135437272
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!