SecRulesDisabled
`SecRulesDisabled` 指令禁用 NAXSI 规则引擎,阻止任何安全规则应用到传入请求。
NGINX Anti XSS & SQL Injection module
·
httpserverlocationlimit_except
语法SecRulesDisabled;
默认值off
上下文http, server, location, limit_except
参数none
说明
SecRulesDisabled 指令是由 NGINX Anti XSS & SQL Injection 模块 (NAXSI) 提供的一个配置选项。当该指令启用(设置为 'on')时,它会在其所在的上下文中实际禁用 NAXSI 模块对安全规则的所有执行。这在某些开发场景中可能很有用,例如管理员需要暂时关闭安全检查以便进行测试或调试而不受规则验证的干扰。
默认情况下,NAXSI 作为一层安全防护,扫描 HTTP 请求以匹配指示 Web 漏洞的已知模式,例如 XSS 和 SQL Injection 攻击。但是,使用 SecRulesDisabled 会停止 NAXSI 的规则引擎,从而绕过通常会执行的所有过滤。务必确保仅在受信任的环境或测试配置中使用此指令,以避免使应用暴露于潜在威胁。
该指令可以放置在多个上下文中,包括 http、server、location 和 limit_except。这种灵活性允许管理员指定应禁用规则的作用域,这对隔离配置更改或在不强制安全策略的情况下测试应用的特定部分很有帮助。
配置示例
http {
SecRulesDisabled;
server {
location / {
# Other configurations
}
}
}⚠
如果管理不慎,禁用规则可能会使应用程序暴露于安全漏洞之中。
⚠
在测试后务必启用规则,因为在生产环境中保留该指令可能导致严重的安全风险。