linux nginx 漏洞处理
2023-07-11 本文已影响0人
一介书生独醉江湖
# nginx.conf
漏洞一、Nginx版本低及版本信息泄露
# 在所有地方隐藏nginx的版本信息
http{
server_tokens off;
}
漏洞二、存在弱SSL协议
server {
ssl_protocols TLSv1.2;
}
漏洞三、缺失 “CONTENT-SECURITY-POLICY”头、“X-XSS-PROTECTION”头 、“X-CONTENT-TYPE-OPTIONS”头
http {
# 加入以下配置
add_header X-Content-Type-Options: nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Content-Security-Policy "default-src 'self'";
}
漏洞四、点击劫持:X-Frame-Options头缺失
http {
add_header X-Frame-Options "SAMEORIGIN";
}
漏洞五、缺少HTTP Strict-Transport-Security头
server {
add_header Strict-Transport-Security "max-age=31536000;
includeSubdomains;";
}