赞
踩
add_header X-XSS-Protection 1;
此响应头用来防范xss攻击
0:禁用XSS保护;
1:启用XSS保护;
1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);
add_header X-Frame-Options SAMEORIGIN always;
此响应头用来防范点击劫持攻击
1:DENY
表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。
2:SAMEORIGIN
表示该页面可以在相同域名页面的frame中展示。
3:ALLOW-FROM uri
表示该页面可以在指定来源的frame中展示。
add_header X-Content-Type-Options 'nosniff';
缺少 X-Content-Type-Options,意味着此网站更易遭受跨站脚本攻击(XSS)
nosniff 只应用于以下两种情况的请求将被阻止:
1:请求类型是
style
但是 MIME 类型不是 text/css。2:请求类型是
script
但是 MIME 类型不是 JavaScript MIME 类型。
add_header Referrer-Policy "no-referrer-when-downgrade";
用于过滤 Referrer 报头内容
1:no-referrer-when-downgrade:当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。
2:no-referrer:不传递 Referrer 报头的值。
3:same-origin:同源才会传递 Referrer。
4:origin:将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。
5:strict-origin:类似于origin,但不能降级
6:origin-when-cross-origin:跨域时和origin模式相同,否则 Referrer 还是传递当前页的全路径。
7:strict-origin-when-cross-origin:类似于origin-when-cross-origin,但不能降级
8:unsafe-url:任意情况下,都发送当前页的全部地址到 Referrer,宽松和不安全的策略。
add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval' blob: data: ;";
用于检测并削弱某些特定类型的攻击,包括跨站脚本和数据注入攻击等
1:default-src 默认策略,可以应用于所有请求
2:* 允许任意地址的url
3:unsafe-inline 允许行内代码执行
4:unsafe-eval 允许不安全的动态代码执行,JavaScript的 eval()方法
add_header X-Permitted-Cross-Domain-Policies "master-only" always;
一种安全策略,用于控制其他域名可以如何使用当前域名的资源。
1:"master-only"表示只允许当前域名的主站点使用该站点的资源,其他域名不允许使用。
2:添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。
add_header X-Download-Options noopen;
一种安全策略,用于防止直接打开用户下载
1:noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。
- add_header Set-Cookie "HttpOnly";
- add_header Set-Cookie "Secure";
Secure属性:Cookie通信只限于加密传输,指示浏览器仅仅在通过安全/加密连接才能使用该Cookie。
HttpOnly属性:指示浏览器不要在除HTTP(和HTTPS)请求之外暴露Cookie
- http{
- server{
- add_header Set-Cookie "HttpOnly";
- add_header Set-Cookie "Secure";
- add_header X-XSS-Protection 1;
- add_header X-Frame-Options SAMEORIGIN always;
- add_header X-Content-Type-Options 'nosniff';
- add_header Referrer-Policy "no-referrer-when-downgrade";
- add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe- eval' blob: data: ;";
- add_header X-Permitted-Cross-Domain-Policies "master-only" always;
- add_header X-Download-Options noopen;
- }
-
- }
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。