Nginx 安全策略配置合集
当前位置:点晴教程→知识管理交流
→『 企业管理交流 』
Nginx 安全策略配置合集配置核心目标浏览器沙箱规则请求头可以理解为浏览器的权限控制系统:服务器通过 HTTP 响应头 告诉浏览器,哪些资源可信,哪些网站可信,哪些行为允许,哪些能力禁止。Nginx 只是下发策略,真正执行的是浏览器。 ⚡ 核心原则 实际使用中建议采用默认零信任:默认禁止 iframe,默认禁止跨域,默认禁止内联 JavaScript,默认禁止第三方脚本,默认禁止浏览器能力,然后再按需开放。 iframe 嵌入安全控制谁可以嵌入你的网站。典型配置:
防止点击劫持,防止别人用 iframe 嵌套你的后台。 CORS 跨域安全控制谁可以调用你的接口。配置项有: 防止前端 AJAX/fetch 跨域访问,降低接口被任意网站调用带来的风险。 ⚠️ 典型风险 以下配置会导致任意网站都可以调用接口,某些情况下存在数据泄露风险。 CSP 内容安全策略控制页面允许加载什么资源,配置项:Content-Security-Policy CSP 可以防止 XSS 攻击、恶意脚本注入,并限制 JavaScript、CSS、图片等资源来源。典型配置如下:
默认只加载本站资源,JavaScript 可以加载指定 CDN,这是现代 Web 安全里非常核心的一层。 HTTPS 安全配置强制加密传输,配置项:Strict-Transport-Security 强制浏览器以后只能通过 HTTPS 访问,防止 SSL Strip 降级攻击。 MIME 类型安全控制浏览器不要乱猜文件类型。配置项:X-Content-Type-Options
防止浏览器把文件误识别成 JavaScript 执行,降低 XSS 风险。 Referrer 安全配置控制 URL 信息泄露程度,配置项:Referrer-Policy
防止完整 URL 泄露给第三方网站。 浏览器能力限制控制页面能不能调用浏览器能力,配置项:Permissions-Policy
禁止网页调用摄像头、麦克风、地理位置等浏览器能力。 Cookie 安全配置控制 Cookie 是否容易被盗,配置项:Set-Cookie 阅读原文:点击这里 该文章在 2026/7/18 23:50:44 编辑过 |
关键字查询
相关文章
正在查询... |