如何提高Nginx的安全与性能

作者：skychen88232011 | 来源：互联网 | 2023-09-18 14:40

这篇文章主要介绍“如何提高Nginx的安全与性能”的相关知识，小编通过实际案例向大家展示操作过程，操作方法简单快捷，实用性强，希望这篇“如何提高N

这篇文章主要介绍“如何提高Nginx的安全与性能”的相关知识，小编通过实际案例向大家展示操作过程，操作方法简单快捷，实用性强，希望这篇“如何提高Nginx的安全与性能”文章能帮助大家解决问题。

主要展示在nginx中配置x-frame-options、x-xss-protection、 x-content-type-options、strict-transport-security、https等安全配置。

nginx.conf配置如下

# 不要将nginx版本号在错误页面或服务器头部中显示
server_tokens off;

#不允许页面从框架frame 或 iframe中显示，这样能避免clickjacking
# http://en.wikipedia.org/wiki/clickjacking
# 如果你允许[i]frames, 你能使用sameorigin 或在allow-from中设置你的允许的url
# https://developer.mozilla.org/en-us/docs/http/x-frame-options
add_header x-frame-options sameorigin;

#当你的网站是用户提供的内容比如博客论坛等，使用 x-content-type-options: nosniff 头部,
# 这是为了失效某些浏览器的内容类型探嗅
# https://www.owasp.org/index.php/list_of_useful_http_headers
# 当前支持ie > 8以上版本 http://blogs.msdn.com/b/ie/archive/2008/09/02/ie8-security-part-vi-beta-2-update.aspx
# http://msdn.microsoft.com/en-us/library/ie/gg622941(v=vs.85).aspx
#firefox https://bugzilla.mozilla.org/show_bug.cgi?id=471020
add_header x-content-type-options nosniff;

# 防止跨站脚本 cross-site scripting (xss) ，目前已经被大多数浏览器支持
#默认是激活的，如果被用户失效，可以使用这个配置激活。
# https://www.owasp.org/index.php/list_of_useful_http_headers
add_header x-xss-protection "1; mode=block";

#激活内容安全策略content security policy (csp) ，大部分浏览器支持
# 告诉浏览器只能从本域名和你显式指定的网址下载脚本。
# http://www.html5rocks.com/en/tutorials/security/content-security-policy/#inline-code-considered-harmful
add_header content-security-policy "default-src &＃39;self&＃39;; script-src &＃39;self&＃39; &＃39;unsafe-inline&＃39; &＃39;unsafe-eval&＃39; https://ssl.google-analytics.com https://assets.zendesk.com https://connect.facebook.net; img-src &＃39;self&＃39; https://ssl.google-analytics.com https://s-static.ak.facebook.com https://assets.zendesk.com; style-src &＃39;self&＃39; &＃39;unsafe-inline&＃39; https://fonts.googleapis.com https://assets.zendesk.com; font-src &＃39;self&＃39; https://themes.googleusercontent.com; frame-src https://assets.zendesk.com https://www.facebook.com https://s-static.ak.facebook.com https://tautt.zendesk.com; object-src &＃39;none&＃39;";

server {
listen 443 ssl default deferred;
server_name .forgott.com;

ssl_certificate /etc/nginx/ssl/star_forgott_com.crt;
ssl_certificate_key /etc/nginx/ssl/star_forgott_com.key;

#激活会话重续提高https性能
# http://vincent.bernat.im/en/blog/2011-ssl-session-reuse-rfc5077.html
ssl_session_cache shared:ssl:50m;
ssl_session_timeout 5m;

# diffie-hellman parameter for dhe ciphersuites, recommended 2048 bits
ssl_dhparam /etc/nginx/ssl/dhparam.pem;

#激活服务器端保护免于beast 攻击
# http://blog.ivanristic.com/2013/09/is-beast-still-a-threat.html
ssl_prefer_server_ciphers on;
# 失效 sslv3(自nginx 0.8.19默认激活) http://en.wikipedia.org/wiki/secure_sockets_layer#ssl_3.0
ssl_protocols tlsv1 tlsv1.1 tlsv1.2;
# 为保密性和相容性选择密码
# http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
ssl_ciphers "ecdhe-rsa-aes256-gcm-sha384:ecdhe-rsa-aes128-gcm-sha256:dhe-rsa-aes256-gcm-sha384:dhe-rsa-aes128-gcm-sha256:ecdhe-rsa-aes256-sha384:ecdhe-rsa-aes128-sha256:ecdhe-rsa-aes256-sha:ecdhe-rsa-aes128-sha:dhe-rsa-aes256-sha256:dhe-rsa-aes128-sha256:dhe-rsa-aes256-sha:dhe-rsa-aes128-sha:ecdhe-rsa-des-cbc3-sha:edh-rsa-des-cbc3-sha:aes256-gcm-sha384:aes128-gcm-sha256:aes256-sha256:aes128-sha256:aes256-sha:aes128-sha:des-cbc3-sha:high:!anull:!enull:!export:!des:!md5:!psk:!rc4";

# 激活ocsp stapling （一种机制：一个网站可以保护隐私可扩展的方式传达的证书撤销信息给访问者）mechanism by which a site can convey certificate revocation information to visitors in a privacy-preserving, scalable manner)
# http://blog.mozilla.org/security/2013/07/29/ocsp-stapling-in-firefox/
resolver 8.8.8.8;
ssl_stapling on;
ssl_trusted_certificate /etc/nginx/ssl/star_forgott_com.crt;

# 配置激活hsts(http strict transport security) https://developer.mozilla.org/en-us/docs/security/http_strict_transport_security
#避免ssl stripping https://en.wikipedia.org/wiki/ssl_stripping#ssl_stripping
add_header strict-transport-security "max-age=31536000; includesubdomains;";

# ... the rest of your configuration
}

# redirect all http traffic to https
server {
listen 80;
server_name .forgott.com;
return 301 https://$host$request_uri;
}

关于“如何提高Nginx的安全与性能”的内容就介绍到这里了，感谢大家的阅读。如果想了解更多行业相关的知识，可以关注编程笔记行业资讯频道，小编每天都会为大家更新不同的知识点。

推荐阅读

const
使用 Azure Service Principal 和 Microsoft Graph API 获取 AAD 用户列表

本文介绍了一段通用代码示例，该代码不仅能够操作 Azure Active Directory (AAD)，还可以通过 Azure Service Principal 的授权访问和管理 Azure 订阅资源。Azure 的架构可以分为两个层级：AAD 和 Subscription。 ... [详细]

蜡笔小新 2024-12-27 16:07:12
byte
基于KVM的SRIOV直通配置及性能测试

SRIOV介绍、VF直通配置，以及包转发率性能测试小慢哥的原创文章，欢迎转载目录?1.SRIOV介绍?2.环境说明?3.开启SRIOV?4.生成VF?5.VF ... [详细]

蜡笔小新 2024-12-25 19:26:39
chat
深入解析 Spring Security 用户认证机制

本文将详细介绍 Spring Security 中用户登录认证的核心流程，重点分析 AbstractAuthenticationProcessingFilter 和 AuthenticationManager 的工作原理。通过理解这些组件的实现，读者可以更好地掌握 Spring Security 的认证机制。 ... [详细]

蜡笔小新 2024-12-25 16:00:21
byte
HTTP请求与响应机制详解

本文深入探讨了HTTP请求和响应对象的使用，详细介绍了如何通过响应对象向客户端发送数据、处理中文乱码问题以及常见的HTTP状态码。此外，还涵盖了文件下载、请求重定向、请求转发等高级功能。 ... [详细]

蜡笔小新 2024-12-23 20:40:08
php
PHP 过滤器详解

本文深入探讨了 PHP 中的过滤器机制，包括常见的 $_SERVER 变量、filter_has_var() 函数、filter_id() 函数、filter_input() 函数及其数组形式、filter_list() 函数以及 filter_var() 和其数组形式。同时，详细介绍了各种过滤器的用途和用法。 ... [详细]

蜡笔小新 2024-12-23 19:05:02
const
使用Fetch进行HTTP请求的基本示例

本文介绍了如何使用JavaScript的Fetch API与Express服务器进行交互，涵盖了GET、POST、PUT和DELETE请求的实现，并展示了如何处理JSON响应。 ... [详细]

蜡笔小新 2024-12-22 12:55:37
byte
深入解析Java虚拟机（JVM）架构与原理

本文旨在为读者提供对Java虚拟机（JVM）的全面理解，涵盖其主要组成部分、工作原理及其在不同平台上的实现。通过详细探讨JVM的结构和内部机制，帮助开发者更好地掌握Java编程的核心技术。 ... [详细]

蜡笔小新 2024-12-21 23:50:40
java
解决C# Windows Forms客户端连接SignalR服务器时出现的错误

在尝试使用C# Windows Forms客户端通过SignalR连接到ASP.NET服务器时，遇到了内部服务器错误（500）。本文将详细探讨问题的原因及解决方案。 ... [详细]

蜡笔小新 2024-12-21 16:55:52
php
开发笔记:新手DVWACSRF

开发笔记:新手DVWACSRF ... [详细]

蜡笔小新 2024-12-03 10:33:16
java
深入理解XSS漏洞及其防范措施

本文详细介绍了跨站脚本攻击（XSS）的基本概念、工作原理，并通过实际案例演示如何构建XSS漏洞的测试环境，以及探讨了XSS攻击的不同形式和防御策略。 ... [详细]

蜡笔小新 2024-11-24 21:14:20
go
360SRC安全应急响应：从漏洞提交到修复的全过程

本文详细介绍了360SRC平台处理一起关键安全事件的过程，涵盖从漏洞提交、验证、排查到最终修复的各个环节。通过这一案例，展示了360在安全应急响应方面的专业能力和严谨态度。 ... [详细]

蜡笔小新 2024-12-27 11:10:05
less
ImmutableX Poised to Pioneer Web3 Gaming Revolution

ImmutableX is set to spearhead the evolution of Web3 gaming, with its innovative technologies and strategic partnerships driving significant advancements in the industry. ... [详细]

蜡笔小新 2024-12-27 08:55:17
go
Linux 透明防火墙（网桥模式）的部署与配置

本文介绍如何在现有网络中部署基于Linux系统的透明防火墙（网桥模式），以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明，确保内部网络的安全性和稳定性。 ... [详细]

蜡笔小新 2024-12-25 13:17:38
const
深入理解C++ map的删除与交换操作

本文详细介绍了C++中map容器的多种删除和交换操作，包括clear、erase、swap、extract和merge方法，并提供了完整的代码示例。 ... [详细]

蜡笔小新 2024-12-23 08:29:59
const
如何在 Angular 6 HttpClient 中获取响应头

本文介绍如何使用 Angular 6 的 HttpClient 模块来获取 HTTP 响应头，包括代码示例和常见问题的解决方案。 ... [详细]

蜡笔小新 2024-12-22 15:33:55

skychen88232011

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章