使用 Nginx 安全標頭提高網站安全性

在當今的數字時代，安全是任何網站或在線平台的重中之重。保護您的網站免受潛在攻擊的最有效方法之一是使用安全標頭。 Nginx 是一種流行的 Web 服務器軟件，它提供了各種安全標頭，可以配置這些標頭以保護您的網站免受惡意攻擊。在這篇博文中，我們將探討安全標頭的重要性、Nginx 中可用的不同類型的安全標頭，以及如何在您的網站上配置它們。到本文結束時，您將清楚地了解如何在 Nginx 中使用安全標頭來提高網站的安全性並保護網站免受潛在的攻擊。那麼，讓我們深入了解 Nginx 中的安全標頭。

什麼是安全標頭？
為什麼安全標頭很重要
在 Nginx 中配置安全標頭。
結論

什麼是安全標頭？

安全標頭是由 Web 服務器發送到客戶端 Web 瀏覽器的 HTTP 響應標頭。這些標頭通過指定 Web 瀏覽器在與網站交互時的行為方式來為網站提供額外的安全性。

這些標頭是防止惡意攻擊（例如跨站點腳本 (XSS) 攻擊、點擊劫持攻擊和其他 Web 應用程序攻擊）的簡便方法。它們還有助於確保只有合法用戶才能訪問該網站。

為什麼安全標頭很重要

安全標頭有助於保護您的網站免受各種安全漏洞的侵害。通過實施它們，您可以降低 XSS 和點擊劫持等攻擊的風險。此外，許多安全標頭通過減少您收到的請求數量來幫助提高您網站的性能。這可以導致更快的加載時間和更好的整體用戶體驗。

在 Nginx 中配置安全標頭。

在我們開始在 Nginx 中配置安全標頭之前，我們需要在您的服務器上安裝 Nginx。有關安裝 Nginx 的其他資源，請閱讀以下帖子：

如何在 Ubuntu Linux 上安裝 Nginx √
如何在 Rocky Linux 上安裝 Nginx √

以下是一些可以添加到 Nginx Web 服務器設置中的更多安全標頭：

內容安全策略 (CSP)。

Content-Security-Policy (CSP) 是一個 HTTP 標頭，允許您指定您的網站可以從中加載資源（例如腳本、圖像和样式表）的來源。通過指定 CSP，您可以防止惡意腳本和其他資源被加載到您的網站上。

將以下內容添加到您的 Nginx 配置中以添加 Content-Security-Policy 標頭：

add_header Content-Security-Policy "default-src 'self';" always;

X 框架選項標題。

此標頭可以幫助防止點擊劫持攻擊，這種攻擊可以通過將惡意鏈接或按鈕隱藏在網站的不可見框架內來誘騙用戶點擊它們。 X-Frame-Options 標頭可以通過告訴瀏覽器不要在 iframe 中顯示網站來防止這種情況。

將以下內容添加到您的 Nginx 配置中以添加 X-Frame-Options 標頭：

add_header X-Frame-Options "SAMEORIGIN";

這將允許網站顯示在來自同一域的框架中，而不是來自外部來源。

X-XSS 保護標頭。

X-XSS-Protection 標頭有助於防止跨站點腳本 (XSS) 攻擊，這種攻擊可能允許攻擊者將惡意腳本注入其他用戶查看的網頁。標頭告訴瀏覽器啟用其內置的 XSS 保護過濾器。

將以下內容添加到您的 Nginx 配置中以添加 X-XSS-Protection 標頭：

add_header X-XSS-Protection "1; mode=block";

Encabezado X-Content-Type-Options。

X-Content-Type-Options 標頭有助於防止 MIME 類型檢測，當瀏覽器試圖猜測所提供文件的 MIME 類型時，可能會發生這種情況。如果瀏覽器錯誤地猜測文件類型並將其作為代碼執行，這可能會帶來安全風險。

將以下內容添加到您的 Nginx 配置中以添加 X-Content-Type-Options 標頭：

add_header X-Content-Type-Options "nosniff";

這將告訴瀏覽器不要進行 MIME 類型嗅探並信任服務器聲明的內容類型。

參考策略標頭。

Referrer-Policy 標頭有助於防止敏感信息通過 HTTP 引用標頭洩露。標頭指定應在引用標頭中發送有關引用頁面的信息量。

將以下內容添加到您的 Nginx 配置中以添加 Referrer-Policy 標頭：

add_header Referrer-Policy "no-referrer";

這將告訴瀏覽器在您導航到另一個網站時不要發送引用標頭。

嚴格的傳輸安全 (HSTS)。

嚴格傳輸安全 (HSTS) 標頭告訴 Web 瀏覽器始終使用 HTTPS 連接到網站，即使用戶在地址欄中鍵入 HTTP 也是如此。這有助於防止可以攔截和修改未加密的 HTTP 流量的攻擊，例如中間人攻擊。

要在 Nginx 上配置 HSTS，請將以下行添加到您的服務器塊：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

跨域策略允許 X.

X-Permitted-Cross-Domain-Policies 標頭允許您控制您網站的資源是否可以被其他使用 Adobe Flash 或 Adobe Acrobat 的網站加載。此標頭僅在您的網站使用 Adobe Flash 或 Acrobat 時適用。

要在 Nginx 中設置 X-Permitted-Cross-Domain-Policies 標頭，請將以下行添加到您的服務器塊或位置塊：

add_header X-Permitted-Cross-Domain-Policies "none";

這將設置 X-Permitted-Cross-Domain-Policies 標頭以防止其他網站使用 Adobe Flash 或 Acrobat 加載您網站的資源。

結論

總之，實施安全標頭是保護您的 Web 應用程序的重要步驟。通過在 Nginx Web 服務器上配置內容安全策略 (CSP)、X-XSS 保護、X 內容類型選項、X 框架選項、嚴格傳輸安全 (HSTS)、引用策略和 X 允許選項跨域策略，您可以大大降低跨站點腳本 (XSS)、點擊劫持、MIME 類型嗅探和中間人攻擊等攻擊的風險。