nginx 一些安全方面的设置

在http块中加入如下设置:

# 不要将Nginx版本号在错误页面或服务器头部中显示

server_tokens off;

#设置HSTS,强制需要输入https或http

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

# 这是为了失效某些浏览器的内容类型探嗅

#add_header X-Content-Type-Options nosniff;

# 防止跨站脚本 Cross-site scripting (XSS) 

add_header X-XSS-Protection "1; mode=block";

add_header    Set-Cookie "HttpOnly";

add_header    Set-Cookie "Secure";

add_header    X-Frame-Options "SAMEORIGIN";

add_header    Content-Security-Policy: 'default-src self';


#支持跨域请求

add_header Access-Control-Allow-Origin *;


#请求时可带上Cookie

add_header 'Access-Control-Allow-Credentials' 'true';


#请求时可用的方法

add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';


#系统内核空间直接文件复制

sendfileon;

#关闭TCP小包延迟发送特性(Nagle算法)

tcp_nodelayon;

tcp_nopush on;


该文章对你有帮助吗,求分享转发: 分享到QQ空间 分享给QQ好友

 

 

粤ICP备19116230号
友情链接: 码农藏书阁 天天链