SSL/TLS深度解析--在 Nginx上配置 HSTS、CSP 与其他（ssltsl协议）

SSL/TLS深度解析--在 Nginx上配置 HSTS、CSP 与其他（ssltsl协议）

在 Nginx 上配置 HSTS

HTTP响应中包含 Strict-Transport-Security 头实现网站HSTS，像下面这样配置： Strict-Transport-Security: max-age=31536000; includeSubDomains; preload,就实现了HSTS，即—— HTTP Strict Transport Security，HTTP严格传输安全。假设TLS连接没有错误，兼容的浏览器将会在 max-age 参数指定的保留期内激活HSTS。 一旦站点启用了HSTS，用户的后续访问就会直接进入443端口，然而你还需要确保那些访问到80端口的用户能被重定向到正确的地址。为了支持这个重定向，而且由于在明文响应中HSTS响应头是不被允许的。 需要配置重定向

# 增加HSTS [root@conf]# vim nginx.conf ...... server { listen 80; server_name *.test05.com test05.com; return 301 https://$host$request_uri; } ...... add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always ; # max-age:时间单位是秒,31536000/3600*24 =365天 # always:表示无论哪种请求都将HSTS的头发送给客户端，也包括错误响应。默认情况404等是不发送HSTS头的。 # includeSubDomains:参数指定在当前主机域名及其所有子域上启用HSTS。 # preload:是一个可选项，是一个为了解决第一次访问的用户，无法预先得知HSTS设置，而创建的 # 要注意 add_header 这个指令的继承方式，如果一个子配置块中设置了 add_header 指令，那么在上层配置块中的 add_header 指令是不会被继承的。如果你需要在子配置中添加额外的 add_header 指令，那么有关HSTS那部分要复制到子配置中。 [root@conf]# ../sbin/nginx -t nginx: the configuration file /project/nginx1.15.0/conf/nginx.conf syntax is ok nginx: configuration file /project/nginx1.15.0/conf/nginx.conf test is successful [root@conf]# ../sbin/nginx -s reload

在 Nginx 上使用 CSP

[root@~]# cd /project/nginx1.15.0/conf/ [root@conf]# vim nginx.conf ...... add_header Content-Security-Policy "default-src 'self'; img-src * ; object-src * script-src test05.com" ; [root@conf]# ../sbin/nginx -t nginx: the configuration file /project/nginx1.15.0/conf/nginx.conf syntax is ok nginx: configuration file /project/nginx1.15.0/conf/nginx.conf test is successful [root@conf]# ../sbin/nginx -s reload

nginx 在配置上错误所造成的漏洞

正确配置

location /download/ { autoindex on; alias /project/nginx1.15.0/files/; }

有安全隐患的配置

location /download { autoindex on; alias /project/nginx1.15.0/files/; }

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。