nginx網(wǎng)絡(luò)安全配置

在 nginx.conf 中配置

10多年的站前網(wǎng)站建設(shè)經(jīng)驗(yàn)，針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù)，響應(yīng)快，48小時(shí)及時(shí)工作處理。全網(wǎng)整合營銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同，自動(dòng)調(diào)整站前建站的顯示方式，使網(wǎng)站能夠適用不同顯示終端，在瀏覽器中調(diào)整網(wǎng)站的寬度，無論在任何一種瀏覽器上瀏覽網(wǎng)站，都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì)，從而大程度地提升瀏覽體驗(yàn)。創(chuàng)新互聯(lián)從事“站前網(wǎng)站設(shè)計(jì)”,“站前網(wǎng)站推廣”以來，每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

可以看到已經(jīng)沒有nginx信息了

一些 WEB 語言或框架默認(rèn)輸出的 x-powered-by 也會(huì)泄露網(wǎng)站信息，他們一般都提供了修改或移除的方法，可以自行查看手冊(cè)。如果部署上用到了 Nginx 的反向代理，也可以通過 proxy_hide_header 指令隱藏它：

通過配置Access-Control-Allow-Origin參數(shù)可以指定哪些域可以訪問你的服務(wù)器，這個(gè)值要么是* 要么是帶協(xié)議端口號(hào)確定的值， *.xx.com 都是錯(cuò)誤的值。

完整配置

相關(guān)鏈接

Content Security Policy 入門教程 - 阮一峰的網(wǎng)絡(luò)日志 (ruanyifeng.com)

前端必須知道的 HTTP 安全頭配置 (juejin.cn)

[網(wǎng)站] nginx 怎么配置更安全？

可以用高防IP，可以省下架設(shè)nginx這個(gè)流程

高防IP是通過域名解析或者IP端口的接入方式，隱藏您后臺(tái)源機(jī)服務(wù)器IP，讓所有的訪問流量先經(jīng)過高防IP清洗平臺(tái)，自動(dòng)過濾攻擊、清洗流量，把真實(shí)用戶回源至您源機(jī)上。配置操作3-5分鐘就能完成，不需要改動(dòng)源服務(wù)器、無需修改網(wǎng)絡(luò)架構(gòu)或網(wǎng)站代碼。

nginx基本配置（參考）

Nginx是一款自由的、開源的、高性能的HTTP服務(wù)器和反向代理服務(wù)器；同時(shí)也是一個(gè)IMAP、POP3、SMTP代理服務(wù)器；Nginx可以作為一個(gè)HTTP服務(wù)器進(jìn)行網(wǎng)站的發(fā)布處理，另外Nginx可以作為反向代理進(jìn)行負(fù)載均衡的實(shí)現(xiàn)。

1、全局塊：配置影響nginx全局的指令。一般有運(yùn)行nginx服務(wù)器的用戶組，nginx進(jìn)程pid存放路徑，日志存放路徑，配置文件引入，允許生成worker process數(shù)等。

2、events塊：配置影響nginx服務(wù)器或與用戶的網(wǎng)絡(luò)連接。有每個(gè)進(jìn)程的最大連接數(shù)，選取哪種事件驅(qū)動(dòng)模型處理連接請(qǐng)求，是否允許同時(shí)接受多個(gè)網(wǎng)路連接，開啟多個(gè)網(wǎng)絡(luò)連接序列化等。

3、http塊：可以嵌套多個(gè)server，配置代理，緩存，日志定義等絕大多數(shù)功能和第三方模塊的配置。如文件引入，mime-type定義，日志自定義，是否使用sendfile傳輸文件，連接超時(shí)時(shí)間，單連接請(qǐng)求數(shù)等。

4、server塊：配置虛擬主機(jī)的相關(guān)參數(shù)，一個(gè)http中可以有多個(gè)server。

5、location塊：配置請(qǐng)求的路由，以及各種頁面的處理情況。

6、緩存控制字段cache-control的配置說明 ( )

HTTP協(xié)議的Cache -Control指定請(qǐng)求和響應(yīng)遵循的緩存機(jī)制。在請(qǐng)求消息或響應(yīng)消息中設(shè)置 Cache-Control并不會(huì)影響另一個(gè)消息處理過程中的緩存處理過程。

請(qǐng)求時(shí)的緩存指令包括: no-cache、no-store、max-age、 max-stale、min-fresh、only-if-cached等。

響應(yīng)消息中的指令包括: public、private、no-cache、no- store、no-transform、must-revalidate、proxy-revalidate、max-age。

no-cache: 數(shù)據(jù)內(nèi)容不能被緩存, 每次請(qǐng)求都重新訪問服務(wù)器, 若有max-age, 則緩存期間不訪問服務(wù)器.

no-store: 不僅不能緩存, 連暫存也不可以(即: 臨時(shí)文件夾中不能暫存該資源).

private(默認(rèn)): 只能在瀏覽器中緩存, 只有在第一次請(qǐng)求的時(shí)候才訪問服務(wù)器, 若有max-age, 則緩存期間不訪問服務(wù)器.

public: 可以被任何緩存區(qū)緩存, 如: 瀏覽器、服務(wù)器、代理服務(wù)器等.

max-age: 相對(duì)過期時(shí)間, 即以秒為單位的緩存時(shí)間.

no-cache, private: 打開新窗口時(shí)候重新訪問服務(wù)器, 若設(shè)置max-age, 則緩存期間不訪問服務(wù)器.

設(shè)置以分鐘為單位的絕對(duì)過期時(shí)間, 優(yōu)先級(jí)比Cache-Control低, 同時(shí)設(shè)置Expires和Cache-Control則后者生效. 也就是說要注意一點(diǎn): Cache-Control的優(yōu)先級(jí)高于Expires

expires起到控制頁面緩存的作用，合理配置expires可以減少很多服務(wù)器的請(qǐng)求, expires的配置可以在http段中或者server段中或者location段中. 比如控制圖片等過期時(shí)間為30天

客戶端必須設(shè)置正向代理服務(wù)器，當(dāng)然前提是要知道正向代理服務(wù)器的IP地址，還有代理程序的端口。

"它代理的是客戶端，代客戶端發(fā)出請(qǐng)求"，是一個(gè)位于客戶端和原始服務(wù)器(origin server)之間的服務(wù)器，為了從原始服務(wù)器取得內(nèi)容，客戶端向代理發(fā)送一個(gè)請(qǐng)求并指定目標(biāo)(原始服務(wù)器)，然后代理向原始服務(wù)器轉(zhuǎn)交請(qǐng)求并將獲得的內(nèi)容返回給客戶端?？蛻舳吮仨氁M(jìn)行一些特別的設(shè)置才能使用正向代理。

正向代理的用途：

（1）訪問原來無法訪問的資源，如Google

（2） 可以做緩存，加速訪問資源

（3）對(duì)客戶端訪問授權(quán)，上網(wǎng)進(jìn)行認(rèn)證

（4）代理可以記錄用戶訪問記錄（上網(wǎng)行為管理），對(duì)外隱藏用戶信息

多個(gè)客戶端給服務(wù)器發(fā)送的請(qǐng)求，Nginx服務(wù)器接收到之后，按照一定的規(guī)則分發(fā)給了后端的業(yè)務(wù)處理服務(wù)器進(jìn)行處理了。此時(shí)~請(qǐng)求的來源也就是客戶端是明確的，但是請(qǐng)求具體由哪臺(tái)服務(wù)器處理的并不明確了，Nginx扮演的就是一個(gè)反向代理角色。

客戶端是無感知代理的存在的，反向代理對(duì)外都是透明的，訪問者并不知道自己訪問的是一個(gè)代理。因?yàn)榭蛻舳瞬恍枰魏闻渲镁涂梢栽L問。

反向代理，"它代理的是服務(wù)端，代服務(wù)端接收請(qǐng)求"，主要用于服務(wù)器集群分布式部署的情況下，反向代理隱藏了服務(wù)器的信息。

反向代理的作用：

（1）保證內(nèi)網(wǎng)的安全，通常將反向代理作為公網(wǎng)訪問地址，Web服務(wù)器是內(nèi)網(wǎng)

（2）負(fù)載均衡，通過反向代理服務(wù)器來優(yōu)化網(wǎng)站的負(fù)載