security_headers_frame
'security_headers' 指令允许在 NGINX 的 HTTP 响应中添加各种安全头。
NGINX module for sending security headers
·
httpserverlocation
语法security_headers on | off;
默认值off
上下文http, server, location
参数1
说明
'security_headers' 指令旨在通过在 NGINX 提供的 HTTP 响应中自动包含一组标准的安全相关头来增强 Web 应用的安全性。通过使用该指令,管理员可以缓解常见的安全漏洞,例如点击劫持、内容类型嗅探以及与服务器版本相关的信息泄露。该指令可以全局设置,也可以在特定级别设置:http、server 或 location,从而在需要的地方灵活应用安全措施。
启用后,'security_headers' 指令会配置 Web 服务器以添加若干关键的 HTTP 安全头:X-Frame-Options: SAMEORIGIN,它防止站点在其他站点的框架中被嵌入以缓解点击劫持攻击;X-XSS-Protection: 0,它禁用浏览器的内置 XSS 过滤机制,因为该机制通常无效;Referrer-Policy: strict-origin-when-cross-origin,它控制随导航请求发送的信息;以及 X-Content-Type-Options: nosniff,它确保浏览器仅将文件解释为 Content-Type 头中指定的内容类型,从而防止某些攻击。通过将这些头集成到服务器响应中,该指令有助于提高 Web 应用对常见安全威胁的抵抗力。
配置示例
http {
security_headers on;
}⚠
请在将配置部署到生产环境之前在预发布环境中进行测试,因为过多的安全响应头可能会影响某些应用的兼容性。
⚠
确保其他安全模块或响应头不会与该指令生成的响应头冲突。
⚠
请审查'HSTS preload'选项的影响,以避免在域名通过 HTTP 访问时产生意外的严格传输安全策略。