HTTP 安全配置

1.关闭nginx版本号显示

server_tokens 		off;

 2.隐藏WEB语言或框架x-powered-by

proxy_hide_header        X-Powered-By;

 3.禁用不必要的方法

if ($request_method !~ ^(GET|HEAD|POST)$ ) {
    return    444;
}

 4.HTTP响应头安全

# 在指定的 max-age 内，始终通过 HTTPS ，max-age 不能低于 18 周（10886400 秒）,includeSubDomains"作用与子域名，多域名
add_header  Strict-Transport-Security  "max-age=31536000";    			
					"max-age=16070400; includeSubDomains"
# 指定此网页是否允许被 iframe 嵌套，deny 就是不允许任何嵌套发生,SAMEORIGIN：不允许被本域以外的页面嵌入.ALLOW-FROM uri：不允许被指定的域名以外的页面嵌入（Chrome现阶段不支持）；
add_header  X-Frame-Options  DENY;						
# 用来指定浏览器对未指定或错误指定 Content-Type 资源真正类型的猜测行为，nosniff 表示不允许任何猜测
add_header  X-Content-Type-Options  nosniff;
# 响应头是用来防范XSS的【0：禁用XSS保护，1：启用XSS保护，1; mode=block：启用XSS保护，并在检查到XSS攻击时，停止渲染页面（例如IE8中，检查到攻击时，整个页面会被一个#替换）
add_header  X-XSS-Protection  "1; mode=block;"
# （简称为 CSP）用来指定页面可以加载哪些资源，主要目的是减少 XSS 的发生。我允许了来自本站、disquscdn 的外链 JS，还允许内联 JS，以及在 JS 中使用 eval；允许来自本站和 google 统计的图片，
# 以及内联图片（Data URI 形式）；允许本站外链 CSS 以及内联 CSS；允许 iframe 加载来自 disqus 的页面。对于其他未指定的资源，都会走默认规则 self，也就是只允许加载本站的
add_header  Content-Security-Policy  "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://a.disquscdn.com; img-src 'self' data: https://www.google-analytics.com; style-src 'self' 'unsafe-inline'; frame-src https://disqus.com";

 

 

 

1