針對(duì)像德勤這樣的專(zhuān)業(yè)滲透測(cè)試（Pentest）的場(chǎng)景中，為了確保網(wǎng)站的安全性并通過(guò)嚴(yán)格的安全審查，需要為這些安全頭配置更細(xì)致、專(zhuān)業(yè)的參數(shù)。

以下是對(duì)每個(gè)選項(xiàng)的建議以及設(shè)置值的詳細(xì)說(shuō)明：

1. Strict-Transport-Security (HSTS)

確保所有通信強(qiáng)制通過(guò) HTTPS 并防止降級(jí)攻擊。

推薦值：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

參數(shù)解釋?zhuān)?/h3>

• max-age=31536000：HSTS 緩存有效期設(shè)為 1 年（以秒為單位），確保長(zhǎng)期有效。
• includeSubDomains：將 HSTS 策略擴(kuò)展到所有子域名，避免主域和子域之間的攻擊風(fēng)險(xiǎn)。
• preload：將域名提交到 HSTS 預(yù)加載列表以防止首次訪問(wèn)時(shí)的降級(jí)攻擊。需要在 HSTS Preload List 提交域名。

2. Content-Security-Policy (CSP)

定義允許加載的內(nèi)容來(lái)源，防止跨站腳本（XSS）和數(shù)據(jù)注入攻擊。

推薦值（需根據(jù)業(yè)務(wù)需求定制）：

add_header Content-Security-Policy "default-src 'none'; script-src 'self'; style-src 'self'; img-src 'self' data:; font-src 'self'; object-src 'none'; frame-ancestors 'none'; base-uri 'self'; form-action 'self';" always;

參數(shù)解釋?zhuān)?/h3>

• default-src 'none'：默認(rèn)禁止加載任何外部資源。
• script-src 'self'：僅允許加載本域的腳本。
• style-src 'self'：僅允許加載本域的樣式。
• img-src 'self' data:：僅允許加載本域的圖片和 Base64 內(nèi)嵌的圖片。
• font-src 'self'：僅允許加載本域的字體。
• object-src 'none'：禁止加載插件內(nèi)容（如 Flash）。
• frame-ancestors 'none'：防止網(wǎng)站被嵌入到 iframe 中，防止點(diǎn)擊劫持攻擊。
• base-uri 'self'：限制 <base> 標(biāo)簽的 URL。
• form-action 'self'：只允許表單提交到本站，防止 CSRF 攻擊。

注意：

• CSP 策略需與網(wǎng)站的實(shí)際需求相匹配，以避免破壞正常功能。
• 如果網(wǎng)站需要使用第三方資源（如 Google Fonts 或 CDN），需明確指定來(lái)源，例如：
  script-src 'self' https://example.com; style-src 'self' https://fonts.googleapis.com;.

3. X-Content-Type-Options

防止 MIME 類(lèi)型混淆攻擊，強(qiáng)制瀏覽器遵循 Content-Type 響應(yīng)頭。

推薦值：

add_header X-Content-Type-Options "nosniff" always;

參數(shù)解釋?zhuān)?/h3>

• nosniff：禁止瀏覽器進(jìn)行內(nèi)容類(lèi)型嗅探，防止將非預(yù)期內(nèi)容（如腳本文件）執(zhí)行。

4. X-XSS-Protection

啟用瀏覽器的內(nèi)置 XSS 保護(hù)機(jī)制（某些現(xiàn)代瀏覽器已默認(rèn)禁用該功能）。

推薦值：

add_header X-XSS-Protection "1; mode=block" always;

參數(shù)解釋?zhuān)?/h3>

• 1：?jiǎn)⒂?XSS 保護(hù)。
• mode=block：檢測(cè)到潛在攻擊時(shí)，阻止頁(yè)面加載，而不是僅僅清理惡意內(nèi)容。

注意：

• 當(dāng)前瀏覽器（如 Chrome 和 Edge）不再支持 XSS 保護(hù)頭部，建議將 CSP 作為首選防護(hù)方案。
• 如果目標(biāo)用戶(hù)中仍有使用舊版瀏覽器的場(chǎng)景，可以啟用此頭。

其他安全頭建議（可選）：

1. Referrer-Policy

控制瀏覽器在跳轉(zhuǎn)時(shí)發(fā)送的引用信息。

add_header Referrer-Policy "strict-origin-when-cross-origin" always;

2. Permissions-Policy（前身為 Feature-Policy）

限制瀏覽器功能（如地理位置、攝像頭、麥克風(fēng)等）的訪問(wèn)權(quán)限。

add_header Permissions-Policy "geolocation=(), camera=(), microphone=()" always;

檢查安全頭的生效情況：

• 工具推薦：使用以下工具驗(yàn)證頭部配置：
  • Security Headers
  • Mozilla Observatory
  使用 curl 查看響應(yīng)頭：

  curl -I https://your-domain.com

到此這篇關(guān)于Nginx HttpHeader增加幾個(gè)關(guān)鍵的安全選項(xiàng)的文章就介紹到這了,更多相關(guān)Nginx HttpHeader安全選項(xiàng)內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論