Nginx如何提高安全与性能
发表于:2025-01-31 作者:千家信息网编辑
千家信息网最后更新 2025年01月31日,这篇文章给大家分享的是有关Nginx如何提高安全与性能的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。主要展示在Nginx中配置X-Frame-Options、X-XSS-P
千家信息网最后更新 2025年01月31日Nginx如何提高安全与性能
这篇文章给大家分享的是有关Nginx如何提高安全与性能的内容。小编觉得挺实用的,因此分享给大家做个参考,一起跟随小编过来看看吧。
主要展示在Nginx中配置X-Frame-Options、X-XSS-Protection、 X-Content-Type-Options、Strict-Transport-Security、https等安全配置。
Nginx.conf配置如下
# 不要将Nginx版本号在错误页面或服务器头部中显示server_tokens off;#不允许页面从框架frame 或 iframe中显示,这样能避免clickjacking# http://en.wikipedia.org/wiki/Clickjacking# 如果你允许[i]frames, 你能使用SAMEORIGIN 或在ALLOW-FROM中设置你的允许的url# https://developer.mozilla.org/en-US/docs/HTTP/X-Frame-Optionsadd_header X-Frame-Options SAMEORIGIN;#当你的网站是用户提供的内容比如博客论坛等,使用 X-Content-Type-Options: nosniff 头部,# 这是为了失效某些浏览器的内容类型探嗅# https://www.owasp.org/index.php/List_of_useful_HTTP_headers# 当前支持IE > 8以上版本 http://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx# http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx#Firefox https://bugzilla.mozilla.org/show_bug.cgi?id=471020add_header X-Content-Type-Options nosniff;# 防止跨站脚本 Cross-site scripting (XSS) ,目前已经被大多数浏览器支持#默认是激活的,如果被用户失效,可以使用这个配置激活。# https://www.owasp.org/index.php/List_of_useful_HTTP_headersadd_header X-XSS-Protection "1; mode=block";#激活内容安全策略Content Security Policy (CSP) ,大部分浏览器支持# 告诉浏览器只能从本域名和你显式指定的网址下载脚本。# http://www.html5rocks.com/en/tutorials/security/content-security-policy/#inline-code-considered-harmfuladd_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src 'self' https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src 'self' 'unsafe-inline' https://fonts.googleapis.com https://assets.zendesk.com; font-src 'self' https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src 'none'";server {listen 443 ssl default deferred;server_name .forgott.com;ssl_certificate /etc/nginx/ssl/star_forgott_com.crt;ssl_certificate_key /etc/nginx/ssl/star_forgott_com.key;#激活会话重续提高https性能# http://vincent.bernat.im/en/blog/2011-ssl-session-reuse-rfc5077.htmlssl_session_cache shared:SSL:50m;ssl_session_timeout 5m;# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bitsssl_dhparam /etc/nginx/ssl/dhparam.pem;#激活服务器端保护免于BEAST 攻击# http://blog.ivanristic.com/2013/09/is-beast-still-a-threat.htmlssl_prefer_server_ciphers on;# 失效 SSLv3(自nginx 0.8.19默认激活) http://en.wikipedia.org/wiki/Secure_Sockets_Layer#SSL_3.0ssl_protocols TLSv1 TLSv1.1 TLSv1.2;# 为保密性和相容性选择密码# http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.htmlssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";# 激活ocsp stapling (一种机制:一个网站可以保护隐私可扩展的方式传达的证书撤销信息给访问者)mechanism by which a site can convey certificate revocation information to visitors in a privacy-preserving, scalable manner)# http://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/resolver 8.8.8.8;ssl_stapling on;ssl_trusted_certificate /etc/nginx/ssl/star_forgott_com.crt;# 配置激活HSTS(HTTP Strict Transport Security) https://developer.mozilla.org/en-US/docs/Security/HTTP_Strict_Transport_Security#避免ssl stripping https://en.wikipedia.org/wiki/SSL_stripping#SSL_strippingadd_header Strict-Transport-Security "max-age=31536000; includeSubdomains;";# ... the rest of your configuration}# redirect all http traffic to httpsserver {listen 80;server_name .forgott.com;return 301 https://$host$request_uri;}感谢各位的阅读!关于"Nginx如何提高安全与性能"这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,让大家可以学到更多知识,如果觉得文章不错,可以把它分享出去让更多的人看到吧!
激活
内容
配置
安全
浏览器
浏览
性能
支持
头部
更多
服务器
版本
用户
篇文章
网站
脚本
页面
保护
服务
不错
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
网络技术的利与弊作文
高级网络安全工程师培训
计算机网络技术专业情况评估
济南职业学院计算机网络技术
服务器用什么数据库
数据库用的什么机械硬盘
网络安全热点演讲
梦网科技互联网
杭州首创网络技术有限公司
数据库as和and
文档存储服务器
p2p理财软件开发
数据库建设团队
河北java软件开发it技术
如何确定无线网络安全
一个女生可以学软件开发吗
字符读取文件存入数据库
数据库number类型精度
报名网站找不到服务器
如何通过两个条件查询数据库
2018年7月召开网络安全
数据库四个字节的类型
数据库用的什么机械硬盘
数据库中的字段设计
高斯数据库行列转换函数
与服务器的
网络安全与反诈总结
什么服务器不受攻击
末日方舟手游服务器
端游吃鸡服务器正在维护中在哪看
