length_hiding_max
指令 `length_hiding_max` 用于配置添加到 HTTP 响应中以掩盖真实响应长度的随机字节的最大长度。
NGINX Length Hiding Filter Module
·
httpserverlocation
语法length_hiding_max value;
默认值none
上下文http, server, location
参数1
说明
指令 length_hiding_max 属于 NGINX 的长度隐藏过滤模块,该模块通过在 HTTP 响应中附加随机生成的内容来帮助缓解 BREACH 攻击。该指令允许管理员为这些附加内容的随机长度设置最大限制。通过隐藏真实响应长度,可以显著增加攻击者判断响应中是否包含敏感信息的难度。
该指令接收一个整数参数,指定要添加到响应中的最大字节数。此设置可确保长度隐藏不会超过该定义的阈值,从而在安全性与性能之间保持合理的平衡。通常,此长度可在 256 到 2048 字节之间,具体范围由源代码中嵌入的配置约束强制执行。每个响应中添加的内容长度会有所不同,从而增加了不可预测性。
在使用 length_hiding_max 指令时,重要的是通过 length_hiding 指令启用长度隐藏模块。这样只有在遇到由 length_hiding_types 指定的适用内容类型时才会添加随机内容。该模块化功能允许用户根据其 Web 服务的具体需求精细调整响应处理。
配置示例
location /secure {
length_hiding on;
length_hiding_max 512;
length_hiding_types text/html;
}⚠
确保启用 length_hiding 指令;否则,该指令将不会生效。
⚠
超出 256-2048 范围的值会因强制边界而导致配置错误。
⚠
添加的长度会根据配置进行随机化;请注意,这在某种程度上是为了隐蔽性,而不是精确的度量。