length_hiding_types
`length_hiding_types` 指令指定在响应中应用随机长度隐藏的内容类型。
NGINX Length Hiding Filter Module
·
httpserverlocation
语法length_hiding_types type [type ...];
默认值none
上下文http, server, location
参数1+
说明
length_hiding_types 指令是 NGINX Length Hiding Filter Module 的一部分,决定应对哪些 MIME 类型的响应应用随机长度隐藏。该功能旨在通过在响应末尾附加随机的 HTML 注释来缓解诸如 BREACH 之类的特定攻击,从而使攻击者更难根据可变的内容长度确定敏感响应的长度。它接受一个或多个表示有效 MIME 类型的参数(例如 'text/html'、'application/json'),并向指定内容类型的响应附加随机字节。
该指令可以放在 http、server 或 location 上下文中,从而在整个服务器块或单个位置中提供配置灵活性。每个指定的类型都会与响应的内容类型进行检查,如果匹配,则会附加随机数据。通过引入响应大小的不可预测性,这可以增强安全性并使潜在攻击者的分析更加复杂。
配置示例
location /secure {
length_hiding on;
length_hiding_types text/html application/json;
}⚠
确保启用 length_hiding,否则该指令不会产生任何效果。
⚠
将内容类型定义为准确反映您的应用程序所提供的内容;否则,随机字节将不会附加到某些响应中。
⚠
请记住,如果与未在已配置列表中指定的响应类型一起使用,该指令可能无法正常工作。