security_headers_frame

Директива 'security_headers' предназначена для повышения безопасности веб-приложений путём автоматического включения стандартного набора заголовков, связанных с безопасностью, в HTTP-ответы, обслуживаемые NGINX. Используя эту директиву, администраторы могут смягчить распространённые уязвимости, такие как атаки типа clickjacking, определение типа содержимого и утечка информации о версиях сервера. Директиву можно задать глобально или на конкретных уровнях: http, server или location, что обеспечивает гибкость при применении мер безопасности только там, где это необходимо.

Когда она включена, директива 'security_headers' настраивает веб-сервер на добавление нескольких ключевых HTTP-заголовков безопасности: X-Frame-Options: SAMEORIGIN, который предотвращает встраивание сайта в фреймы на других сайтах для защиты от clickjacking; X-XSS-Protection: 0, который отключает встроенный механизм фильтрации XSS в браузерах, так как он часто неэффективен; Referrer-Policy: strict-origin-when-cross-origin, который контролирует информацию, отправляемую при навигационных запросах; и X-Content-Type-Options: nosniff, который гарантирует, что браузеры будут интерпретировать файлы только как указанный в заголовке Content-Type тип содержимого, предотвращая определённые атаки. Интеграция этих заголовков в ответы сервера помогает сделать веб-приложения более устойчивыми к распространённым угрозам безопасности.