nginx漏洞相关修复
2024-01-04 本文已影响0人
李哈哈_2c85
server {
listen 9092;
server_name 127.0.0.1 222.221.246.3 192.168.200.25 192.168.200.1;
#Host头攻击--只有请求中的Host头与这些地址匹配时才会继续处理请求
if ( $host !~* '127.0.0.1|222.221.246.3|192.168.200.25|192.168.200.1' ) {
return 400;
}
#未设置X-Content-Type-Options响应头--用于指示浏览器是否允许自动嗅探响应内容的 MIME 类型
add_header X-Content-Type-Options "nosniff";
#未设置X-XSS-Protection响应头--用于启用浏览器的内置跨站脚本攻击 (XSS) 过滤器
add_header X-XSS-Protection "1; mode=block";
#未设置Strict-Transport-Security响应头--用于强制客户端(浏览器)通过 HTTPS 连接访问您的网站,以增加连接安全性
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
#点击劫持:无X-Frame-Options头信息--用于控制网页是否可以在 <frame>, <iframe>, <embed>, <object> 等标签中显示
add_header X-Frame-Options "SAMEORIGIN";
#未设置Referrer-Policy响应头--用于控制浏览器在发送引荐(referrer)信息时如何处理
add_header Referrer-Policy "no-referrer";
#未设置X-Download-Options响应头--用于控制浏览器是否允许文件下载
add_header X-Download-Options "noopen";
#未设置X-Permitted-Cross-Domain-Policies响应头--用于指定是否允许跨域策略文件(crossdomain.xml)加载-默认不允许none和all
add_header X-Permitted-Cross-Domain-Policies "all";
location / {
try_files $uri $uri/ /index.html;
error_page 502 503 504 404 403 http://html.dev.goago.cn/error.html;
root /mnt/mfs/static/fe/fedrugadmin/;
access_log /data/log/nginx/fedrugadminweb_log main;
}
}
server {
listen 8081 ssl;
ssl_certificate /usr/local/nginx/conf/conf.d/ssl/xjyjj.cn.crt;
ssl_certificate_key /usr/local/nginx/conf/conf.d/ssl/xjyjj.cn.key;
#禁用TLSv1
ssl_protocols TLSv1.2 TLSv1.3;
server_name 172.24.47.81 dzzz.xjyjj.cn;
if ( $host !~* '127.0.0.1|172.24.47.81|dzzz.xjyjj.cn' ) {
return 400;
}
gzip on;
gzip_min_length 256;
gzip_comp_level 6;
gzip_types text/plain text/css text/javascript image/png image/jpg image/jpeg application/xml application/x-javascript application/javascript ;
gzip_vary on;
gzip_proxied any;
location / {
try_files $uri $uri/ /index.html;
root /data/web/fexjec/;
access_log /data/log/nginx/web_access.log main;
#用于控制浏览器在发送引荐(referrer)信息时如何处理
add_header Referrer-Policy "no-referrer";
#用于启用浏览器的内置跨站脚本攻击 (XSS) 过滤器
add_header X-XSS-Protection "1; mode=block";
#用于强制客户端(浏览器)通过 HTTPS 连接访问您的网站,以增加连接安全性,-HSTS Missing From HTTPS Server
#add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
#用于指示浏览器是否允许自动嗅探响应内容的 MIME 类型
add_header X-Content-Type-Options "nosniff";
#用于指定是否允许跨域策略文件(crossdomain.xml)加载-默认不允许
add_header X-Permitted-Cross-Domain-Policies "none";
#Content-Security-Policy 是一个用于定义网页内容安全策略的 HTTP 头部,可以帮助保护网站免受跨站脚本攻击(XSS)、点击劫持等安全威胁
#add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'";
add_header Content-Security-Policy "default-src * data: 'unsafe-inline' 'unsafe-eval' blob:; frame-ancestors 'self';";
#用于控制浏览器是否允许文件下载
add_header X-Download-Options "noopen";
#用于控制网页是否可以在 <frame>, <iframe>, <embed>, <object> 等标签中显示
add_header X-Frame-Options "SAMEORIGIN";
}
