LibInjectionXss
`LibInjectionXss` 指令会激活 NAXSI 模块的 Anti-XSS 和 SQL 注入防护机制,以保护 Web 应用程序。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法LibInjectionXss;
默认值none
上下文http, server, location, limit_except
参数none
说明
LibInjectionXss 指令是由 NAXSI (Nginx Anti XSS & SQL Injection) 模块提供的一项安全功能,旨在帮助缓解跨站脚本(XSS)和 SQL 注入攻击。启用后,该指令会激活一系列预定义规则,分析传入请求中常见于此类利用的模式。该模块通过检查 HTTP 请求的 URI 和主体来运行,将其与已知攻击签名匹配,例如非法字符或格式错误的输入。任何被视为可疑的请求都可以被阻止或记录以供进一步分析。
该指令不需要任何额外参数,使用简单。将其包含在 http、server、location 或 limit_except 上下文中时,它会启动 anti-XSS 和 SQL 注入机制,实质上建立类似防火墙的行为,默认采用 DROP-by-default 策略,这意味着任何潜在的有害请求都会被拒绝,除非被显式加入白名单。这样可以在保留正常 Web 应用行为的同时过滤掉危险请求,营造一个安全的环境。
为达到最佳效果,建议管理员将 LibInjectionXss 与初始学习阶段结合,在该阶段识别合法请求模式并将其加入白名单。此主动方法可将误报降至最低,确保有效流量不会被意外阻止,同时仍能对威胁提供强有力的防护。
配置示例
http {
LibInjectionXss;
server {
location / {
# additional configuration
}
}
}⚠
在启用此指令后,应通过分析日志确保合法请求不会被阻止。
⚠
将有效模式列入白名单至关重要;否则可能会扰乱 Web 应用程序的正常运行。