在目前的应用系统中值使用到POST、 GET和PUT方法,所以除了它们之外,其他方式的请求均可拒绝。Nginx.conf配置如下:
server{
... ...
if($request_method !~ ^(GET|HEAD|PUT|POST)$) {
return 404;
}
... ...(5)、配置SSL证书加密套件
Nginx的默认配置允许您使用不安全的TLS协议旧版本(根据官方文档:ssl_协议TLSv1 TLSv1.1 TLSv1.2)。这可能会导致野兽攻击等攻击。因此,我们建议您不要使用旧的TLS协议,并将配置更改为仅支持更新的安全TLS版本。
server{
... ...
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers
'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
... ...
(5)、配置HTTP header
为了进一步增强nginx web服务器,可以添加几个不同的HTTP头。以下是我们推荐的一些选项。
X-Frame-Options
您可以使用X-Frame-Options HTTP响应头来指示是否允许浏览器在<Frame>或<iframe>中呈现页面。这可以防止点击劫持攻击。因此,我们建议您为nginx服务器启用此选项。
为此,请在服务器部分的nginx配置文件中添加以下参数:
add_header X-Frame-Options "SAMEORIGIN";
CSP和X-XSS-Protection
内容安全策略(CSP)保护您的web服务器免受特定类型的攻击,包括跨站点脚本攻击(XSS)和数据注入攻击。
可以通过添加以下示例内容安全策略头来实现CSP(请注意,应将实际头配置为符合实际需求):
add_header Content-Security-Policy "default-src 'self' http: https: data: blob: 'unsafe-inline'" always;
IE和Safari支持HTTP X-XSS-Protection头,如果您有强大的内容安全策略,则现代浏览器不需要HTTP X-XSS-Protection头。但是,为了在旧浏览器(还不支持CSP)的情况下防止XSS,可以将X-XSS保护头添加到服务器部分:
add_header X-XSS-Protection "1; mode=block";
