IgnoreCIDR
IgnoreCIDR 指令指定应从 anti-XSS 和 SQL injection 检查中排除的一组 CIDR 范围。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法IgnoreCIDR CIDR_list;
默认值none
上下文http, server, location, limit_except
参数1+
说明
IgnoreCIDR 指令位于 NGINX Anti XSS & SQL Injection 模块 (NAXSI),允许将特定的 IP 范围排除在用于防止 XSS 和 SQL injection 攻击的安全规则之外。该指令在您想允许内部流量或某些受信任客户端(这些客户端可能会触发现有安全过滤器)的情况下特别有用。通过指定一个或多个 CIDR 表示法,服务器管理员可以有效调整安全设置,以避免来自这些 IP 范围的合法请求被误判为攻击。
在 IgnoreCIDR 指令中,每个条目必须遵循标准的 CIDR 格式,即一个 IP 地址后跟斜杠和表示子网掩码位数的数字。例如,192.168.1.0/24 会忽略从 192.168.1.0 到 192.168.1.255 的所有 IP 地址。该指令可以包含在 http、server、location 和 limit_except 等上下文中,从而在定义排除范围时提供灵活性。可以在单个指令中指定多个 CIDR 条目以简化配置。
需要注意的是,虽然使用 IgnoreCIDR 指令可以帮助减少误报,但应谨慎避免排除可能无意中引入漏洞的范围。因此,建议定期审计并将所指定的 CIDR 范围与组织的安全策略进行核对。还建议对来自被忽略 IP 地址的请求进行适当的日志记录和监控,以便检测可能表明安全漏洞的异常活动。
配置示例
server {
listen 80;
server_name example.com;
location / {
IgnoreCIDR 192.168.0.0/16;
# Other configuration directives...
}
}⚠
过于宽泛的CIDR范围可能允许不需要的流量绕过安全检查。
⚠
更改指定的CIDR范围需要谨慎考虑,以维护安全性。
⚠
将 IgnoreCIDR 与适当的日志记录结合使用对于缓解被忽略的 IPs 带来的风险至关重要。