Nginx: 弱扫和安全策略

2024-01-07 18:06:28

Nginx弱扫和安全策略

最近在公司配置Nginx,一下子又变成了运维人员 ╮(╯▽╰)╭ , 这是我整理对 服务器弱扫 的一些 配置

server {
	  #监听443端口
	  listen 443;
	  #你的域名
    server_name         www.example.com; // 域名
    ssl_certificate     www.example.com.crt; // https 证书
    ssl_certificate_key www.example.com.key; // https 证书

    # 协议
    ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;
    
    ssl_prefer_server_ciphers off;

    # HSTS 是一个安全功能,它告诉浏览器只能通过HTTPS访问当前资源
    add_header Strict-Transport-Security "max-age=63072000;includeSubDomains" always;

    # 安全策略
    add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";
  
    # 允许将“Expires”和“Cache-Control”标头字段以及任意字段添加到响应标头
    add_header X-Content-Type-Options nosniff;
  
    # 网站可以利用这一点来避免点击劫持攻击,确保其内容不会嵌入到其他网站中
    # 防止 crsf 攻击
    add_header X-Frame-Options SAMEORIGIN;
}

注意

ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;

此命令可能导致 IE 浏览器打不开,需要 IE浏览器 配置一些配置

 add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";

此命令可能需要不断更新(可能),之前改过一次,导致 base64 的图片无法打开,而且这些命令 可以将 self 改成需要的域名IP等,比如如果直接设置 frame-ancestors 'self'; 可能导致 别的页面在内嵌Iframe 会直接打不开

参考

HTTP security 文档

文章来源:https://blog.csdn.net/weixin_38992765/article/details/135437272
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。