LOGO 首页 OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 技术文档 其他文档  
 
网站管理员

Nginx 安全策略配置合集

admin
2026年7月18日 23:50 本文热度 46

Nginx 安全策略配置合集

配置核心目标

在最近工作中,遇到了Web页面嵌套失败的一系列问题,顺便整理总结一下。文章内涉及的Nginx配置的核心目标,是降低网站被外部站点攻击的风险,避免敏感数据泄露,防止接口被跨站调用,同时阻止 iframe 劫持、脚本注入等常见 Web 安全问题,并通过限制资源加载范围来收紧浏览器侧的安全边界。

浏览器沙箱规则

请求头可以理解为浏览器的权限控制系统:服务器通过 HTTP 响应头 告诉浏览器,哪些资源可信,哪些网站可信,哪些行为允许,哪些能力禁止。Nginx 只是下发策略,真正执行的是浏览器。

⚡ 核心原则

实际使用中建议采用默认零信任:默认禁止 iframe,默认禁止跨域,默认禁止内联 JavaScript,默认禁止第三方脚本,默认禁止浏览器能力,然后再按需开放。


iframe 嵌入安全

控制谁可以嵌入你的网站。典型配置:


add_header X-Frame-Options "SAMEORIGIN" always;

防止点击劫持,防止别人用 iframe 嵌套你的后台。

配置
含义
DENY
完全禁止嵌入
SAMEORIGIN
只允许同源
frame-ancestors a.com
指定允许域

CORS 跨域安全

控制谁可以调用你的接口。配置项有:

Access-Control-Allow-Origin
Access-Control-Allow-Methods
Access-Control-Allow-Headers

防止前端 AJAX/fetch 跨域访问,降低接口被任意网站调用带来的风险。

⚠️ 典型风险

以下配置会导致任意网站都可以调用接口,某些情况下存在数据泄露风险。


add_header Access-Control-Allow-Origin *;


CSP 内容安全策略

控制页面允许加载什么资源,配置项:Content-Security-Policy

CSP 可以防止 XSS 攻击、恶意脚本注入,并限制 JavaScript、CSS、图片等资源来源。典型配置如下:


add_header Content-Security-Policy "default-src 'self'; script-src 'self' cdn.xxx.com" always;

默认只加载本站资源,JavaScript 可以加载指定 CDN,这是现代 Web 安全里非常核心的一层。


HTTPS 安全配置

强制加密传输,配置项:Strict-Transport-Security

强制浏览器以后只能通过 HTTPS 访问,防止 SSL Strip 降级攻击。


add_header Strict-Transport-Security "max-age=3153600" always;


MIME 类型安全

控制浏览器不要乱猜文件类型。配置项:X-Content-Type-Options


add_header X-Content-Type-Options "nosniff" always;

防止浏览器把文件误识别成 JavaScript 执行,降低 XSS 风险。


Referrer 安全配置

控制 URL 信息泄露程度,配置项:Referrer-Policy


add_header Referrer-Policy "strict-origin-when-cross-origin" always;

防止完整 URL 泄露给第三方网站。


浏览器能力限制

控制页面能不能调用浏览器能力,配置项:Permissions-Policy


add_header Permissions-Policy "camera=(), microphone=(), geolocation=()" always;

禁止网页调用摄像头、麦克风、地理位置等浏览器能力。


Cookie 安全配置

控制 Cookie 是否容易被盗,配置项:Set-Cookie


Set-Cookie: session=xxx; Secure; HttpOnly; SameSite=Lax

属性
作用
Secure
仅 HTTPS 发送
HttpOnly
JavaScript 无法读取
SameSite
防止 CSRF


阅读原文:点击这里


该文章在 2026/7/18 23:50:44 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2026 ClickSun All Rights Reserved  粤ICP备13012886号-2  粤公网安备44030602007207号