nginx web 安全配置_add_header x-content-type-options nosniff;_王小栋857的博客-CSDN博客
nginx web 安全配置
王小栋857
已于 2022-02-27 10:20:21 修改
7112
收藏
分类专栏：
nginx
文章标签：
nginx
运维
安全
于 2022-02-27 10:11:01 首次发布
版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
本文链接：https://blog.csdn.net/qq_25794513/article/details/123160115
版权
nginx
专栏收录该内容
2 篇文章
0 订阅
订阅专栏
1、配置响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)
server{
add_header X-Frame-Options SAMEORIGIN;
add_header X-XSS-Protection '1;mode=block';
add_header X-Content-Type-Options nosniff;
注：
X-Frame-Options：
有些资源的Content-Type是错的或者未定义。这时，某些浏览器会启用MIME-sniffing来猜测该资源的类型，解析内容并执行。
X-Frame-Options三个参数:
1、DENY 表示该页面不允许在frame中展示，即便是在相同域名的页面中嵌套也不允许。
2、SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示。
3、ALLOW-FROM uri 表示该页面可以在指定来源的frame中展示。
X-XSS-Protection头的三个值
0： 表示关闭浏览器的XSS防护机制
1：删除检测到的恶意代码， 如果响应报文中没有看到X-XSS-Protection 字段，那么浏览器就认为X-XSS-Protection配置为1，这是浏览器的默认设置
1; mode=block：如果检测到恶意代码，在不渲染恶意代码
不指定X-Frame-Options的网页等同表示它可以放在任何iFrame内。
X-Frame-Options可以保障你的网页不会被放在恶意网站设定的iFrame内，令用户成为点击劫持的受害人。
2、请求方法拦截（GET|POST|HEAD以外的请求无法访问）
server{
if ($request_method !~* GET|POST|HEAD) {
return 403;
3、sql 注入拦截
server{
if ($query_string ~* ".*('|--|union|insert|drop|truncate|update|from|grant|exec|where|select|and|or|count|chr|mid|like|iframe|script|alert|webscan|dbappsecurity|style|confirm|innerhtml|innertext|class).*")
{ return 500; }
if ($uri ~* .*(viewsource.jsp)$) { return 404; }
if ($uri ~* .*(/~).*) { return 404; }
4、页面拦截
location /web.config {
return 403;
王小栋857
关注
关注
点赞
收藏
觉得还不错?
一键收藏
打赏
知道了
评论
nginx web 安全配置
1、配置响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)server{ add_header X-Frame-Options SAMEORIGIN;add_header X-XSS-Protection '1;mode=block';add_header X-Content-Type-Options nosniff;}注：X-Frame-Options：有些资源的Content-Type是
复制链接
扫一扫
专栏目录
Nginx提高安全与性能的最好配置详解
01-10
主要展示在Nginx中配置X-Frame-Options、X-XSS-Protection、 X-Content-Type-Options、Strict-Transport-Security、https等安全配置。
Nginx.conf配置如下
# 不要将Nginx版本号在错误页面或服务器头部中显示
server_tokens off;
#不允许页面从框架frame 或 iframe中显示，这样能避免clickjacking
# http://en.wikipedia.org/wiki/Clickjacking
# 如果你允许[i]frames, 你能使用SAMEORIGIN 或在ALL
【已解决】“X-Content-Type-Options”头缺失或不安全
最新发布
专注于Java领域开发 关注我 带你玩转Java
06-16
2533
“X-Content-Type-Options”头缺失或不安全
参与评论
您还未登录，请先
登录
后发表或查看评论
几个“HTTP 请求头”告警处理
小虫虫的博客
09-23
1775
给NC搬了个家，发现又是一堆警告，都是HTTP响应头相关的，不太影响使用，但对于强迫症来说，不解决一下怎么行
一些老旧的告警解决方法之前都写过了，见这里：https://bugxia.com/?s=nextcloud+后台+警告
HTTP的请求头 “Strict-Transport-Security” 未设置为至少 “15552000” 秒。
HTTP 请求头 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险，我们建议您调整这项设置。
HT
Nginx添加安全策略
TomicSun的博客
07-06
2109
Nginx添加安全策略
Web安全漏洞 之 X-Frame-Options,X-XSS-Protection,X-Content-Type-Options 响应头配置
Able
10-24
7480
X-Frame-Options
X-Frame-Options 响应头有三个可选的值：
DENY：页面不能被嵌入到任何iframe或frame中；
SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中；
ALLOW-FROM：页面允许frame或frame加载。
X-XSS-Protection
顾名思义，这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到...
Nginx学习之Nginx实战（二）
sdaujsj1的博客
07-23
346
文章目录一 反向代理二 负载均衡其他配置信息proxy_next_upstreamproxy_connect_timeoutproxy_send_timeoutproxy_read_timeoutproxy_upstream_fail_timeout三 Nginx动静分离什么是动静分离静态资源的类型动静分离的好处缓存Nginx缓存配置压缩配置信息四 防盗链防盗链配置五 跨域访问
一 反向代理
nginx反向代理的指令不需要新增额外的模块，默认自带proxy_pass指令，只需要修改配置文件就可以实现反向代理
nginx漏扫出现问题及解决方法
wwppp987的博客
06-11
2833
如果需要找的漏扫问题，可以在评论区发言，我看到就会回复。
检测到目标X-Content-Type-Options响应头缺失
add_header 'Referrer-Policy' 'origin';
检测到错误页面web应用服务器版本信息泄露
修改404页面及500页面，不要出现apache、nginx等字样
检测到目标Referrer-Policy响应头缺失
add_header 'Referrer-Policy' 'origin';
检测到目标X-XSS-Protection响应头缺失
add_
[Web开发] IE 如何判断文件的类型
IE浏览器开发
02-11
3440
浏览器如何判断一个文档的类型是txt，还是html？还是JPG？ 还是XML ? .... 不同的文档类型应该使用不同的方式去显示。 比较标准的判断文档类型依据是：1) 通过HTTP 请求数据包header的Content-Type值2）通过文件扩展名 但是这2个依据并不是每次都可靠的。有很多服务器没有被很好配置，于是就没有content-type这项。另外，很多动态的PH
web安全：x-content-type-options头设置
热门推荐
juruiyuan111的专栏
03-18
2万+
如果服务器发送响应头 "X-Content-Type-Options: nosniff"，则script和styleSheet元素会拒绝包含错误的 MIME 类型的响应。这是一种安全功能，有助于防止基于 MIME 类型混淆的攻击。
简单理解为：通过设置"X-Content-Type-Options: nosniff"响应标头，对script和styleSheet在执行是通过MIME 类型来过滤掉不安全的文件
服务器发送含有"X-Content-Type-Options: n...
Web安全之充分利用 X-Content-Type-Options
路多辛的所思所想
06-13
1501
X-Content-Type-Options 是一种 HTTP 响应头，用于控制浏览器是否应该尝试 MIME 类型嗅探。如果启用了 X-Content-Type-Options，浏览器将遵循服务器提供的 MIME 类型，用于防止浏览器执行 MIME 类型错误的响应体（response body）。
Web应用安全：Nginx权限配置.doc
06-19
实验三：Nginx权限配置 实验目的 熟悉nignx并配置访问权限 实验内容 查看nginx配置文件 修改访问权限 重启nginx 查看结果 实验环境 kali系统 实验步骤 查看nginx配置文件 Nginx的主配置文件为“/etc/nginx/nginx....
Web应用安全：Nginx禁止目录列出配置.pptx
06-18
Nginx禁止目录列出配置 Nginx禁止目录列出配置 在PHP网站中，在没有进行配置的情况下，攻击者可以通过在网址后面加上“../”或者“/*53.pdf”等语句来读取网站目录，这是不利于服务器和网站安全的。 Nginx禁止目录列...
Web应用安全：Nginx日志配置实验.doc
06-20
实验一：Nginx日志配置 实验目的 熟悉nginx并进行nginx日志配置 实验内容 查看配置文件信息 打开nginx主配置文件 配置nginx日志 实验环境 kali系统 实验步骤 1.查看nginx版本情况 在kali中输入“nginx -t”来查看...
Web应用安全：Nginx权限配置.pptx
06-18
Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件（IMAP/POP3）代理服务器，在BSD-like 协议下发行。其特点是占有内存少，并发能力强，事实上nginx的并发能力在同类型的网页服务器中表现较好，中国大陆使用...
Web应用安全：Nginx日志配置.pptx
06-20
Web应用安全：Nginx日志配置.pptx
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01
2623
安全修复之Web——HTTP X-Content-Type-Options缺失
背景
日常我们开发时，会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o)，这个常见问题系列就是我日常遇到的一些问题的记录文章系列，这里整理汇总后分享给大家，让其还在深坑中的小伙伴有绳索能爬出来。
同时在这里也欢迎大家把自己遇到的问题留言或私信给我，我看看其能否给大家解决。
开发环境
系统：windows10
语言：...
Nginx配置“Content-Security-Policy”头 、“X-XSS-Protection”头 和“X-Content-Type-Options”头
weixin_42564514的博客
07-24
8037
如上图配置
add_header X-Content-Type-Options: nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'";
如上图即成功
nginx 响应头详解
speechless fish 的博客
05-19
3651
1、add_header X-Frame-Options SAMEORIGIN;
# DENY 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许,SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示,ALLOW-FROM url 表示该页面可以在指定来源的frame中展示
2、add_header X-Content-Type-Options: nosniff;
禁止服务器自动解析资源类型
3、add_header X-XSS-Protection "...
nginx检测到隐藏目录_Nginx安全配置
06-08
Nginx 安全配置是保护 Web 服务器免受攻击的关键部分之一。以下是一些常用的 Nginx 安全配置：
1. 禁用不安全的 HTTP 方法：Nginx 默认允许所有 HTTP 方法，包括不安全的方法如 PUT、DELETE、TRACE 等，应该禁用这些方法，只允许常用的 GET 和 POST 方法。
```
if ($request_method !~ ^(GET|POST)$ ) {
return 405;
```
2. 关闭服务器信息泄露：Nginx 默认会在响应头中包含服务器信息，如 Server，可以通过以下指令来关闭：
```
server_tokens off;
```
3. 限制请求体大小：限制请求体大小可以防止攻击者通过 POST 请求发送大量数据来耗尽服务器资源。
```
client_max_body_size 10m;
```
4. 防止目录穿越攻击：通过配置 Nginx，可以防止攻击者通过修改 URL 跳出 Web 根目录访问其他目录。
```
location / {
root /var/www;
index index.html index.htm;
if (!-e $request_filename) {
return 404;
```
5. 防止文件包含漏洞：如果 PHP 应用程序没有正确过滤用户输入，可能会导致文件包含漏洞。可以通过配置 Nginx，禁用 PHP 的文件包含功能来防止这种漏洞。
```
location ~ \.php$ {
fastcgi_pass 127.0.0.1:9000;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
fastcgi_param PATH_INFO $fastcgi_path_info;
fastcgi_param PATH_TRANSLATED $document_root$fastcgi_path_info;
fastcgi_param PHP_VALUE "auto_prepend_file=/dev/null \n auto_append_file=/dev/null";
```
这些配置可以帮助保护 Nginx 服务器，但并不能完全防止所有攻击。安全配置应该根据具体情况进行调整和优化。
“相关推荐”对你有帮助么？
非常没帮助
没帮助
一般
有帮助
非常有帮助
提交
王小栋857
CSDN认证博客专家
CSDN认证企业博客
码龄9年
暂无认证
56
原创
9万+
周排名
12万+
总排名
6万+
访问
等级
588
积分
18
粉丝
获赞
评论
83
收藏
私信
关注
热门文章
nginx web 安全配置
7109
k8s-二进制安装
4825
k8s-配置管理
4656
zabbix配置自定义脚本
4319
k8s-存储（volumes）
3750
分类专栏
linux
6篇
go
3篇
kubernetes
23篇
数据库
7篇
python
5篇
网络
2篇
docker
7篇
devops
2篇
zabbix
3篇
nginx
2篇
最新评论
Rancher
王小栋857:
你可以通过查看pod详情 了解原因 具体原因具体分析
Rancher
DHLCR:
pending状态一般等待多久呢
k8s-二进制安装
星辰18岁:
还是有点忙 到etcdj证书后就不会了
k8s-二进制安装
m0_67849794:
kube-controller-manager组件启动不起来，kubelet也挂了
zabbix-钉钉预警
亦曾手捧琉璃:
最后钉钉收不到消息
您愿意向朋友推荐“博客详情页”吗？
强烈不推荐
不推荐
一般般
推荐
强烈推荐
提交
最新文章
ansible 简单使用
go 操作mysql
k8s-kubeadm安装1.25.5
2023年2篇
2022年55篇
目录
目录
分类专栏
linux
6篇
go
3篇
kubernetes
23篇
数据库
7篇
python
5篇
网络
2篇
docker
7篇
devops
2篇
zabbix
3篇
nginx
2篇
目录
评论
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
祝福语
请填写红包祝福语或标题
红包数量
红包个数最小为10个
红包总金额
红包金额最低5元
余额支付
当前余额3.43元
前往充值 >
需支付：10.00元
取消
确定
下一步
知道了
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝
规则
hope_wisdom 发出的红包
打赏作者
王小栋857
你的鼓励将是我创作的最大动力
¥1
¥2
¥4
¥6
¥10
¥20
扫码支付：¥1
获取中
扫码支付
您的余额不足，请更换扫码支付或充值
打赏作者
实付元
使用余额支付
点击重新获取
扫码支付
钱包余额
抵扣说明：
1.余额是钱包充值的虚拟货币，按照1:1的比例进行支付金额的抵扣。 2.余额无法直接购买下载，可以购买VIP、付费专栏及课程。
余额充值