Nginx弱扫和安全策略

最近在公司配置Nginx,一下子又变成了运维人员 ╮(╯▽╰)╭ , 这是我整理对 服务器弱扫 的一些 配置

server {#监听443端口listen 443;#你的域名server_name         www.example.com; // 域名ssl_certificate     www.example.com.crt; // https 证书ssl_certificate_key www.example.com.key; // https 证书# 协议ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;ssl_prefer_server_ciphers off;# HSTS 是一个安全功能，它告诉浏览器只能通过HTTPS访问当前资源add_header Strict-Transport-Security "max-age=63072000;includeSubDomains" always;# 安全策略add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";# 允许将“Expires”和“Cache-Control”标头字段以及任意字段添加到响应标头add_header X-Content-Type-Options nosniff;# 网站可以利用这一点来避免点击劫持攻击，确保其内容不会嵌入到其他网站中# 防止 crsf 攻击add_header X-Frame-Options SAMEORIGIN;
}

注意

ssl_protocols  TLSv1.1 TLSv1.2 TLSv1.3;

此命令可能导致 IE 浏览器打不开，需要 IE浏览器 配置一些配置

 add_header Content-Security-Policy "default-src *; connect-src * ws://* wss://*; style-src * 'unsafe-inline' 'unsafe-eval'; media-src * ; img-src * blob: data: base64; font-src * ; script-src 'self' 'unsafe-inline' 'unsafe-eval'; object-src 'self' ;frame-ancestors 'self'; ";

此命令可能需要不断更新（可能）,之前改过一次,导致 base64 的图片无法打开，而且这些命令 可以将 self 改成需要的域名IP等，比如如果直接设置 frame-ancestors 'self'; 可能导致 别的页面在内嵌Iframe 会直接打不开

参考

HTTP security 文档