security_headers_text_types
`security_headers_text_types` 指令指定将在响应中应用安全头的 MIME 类型。
NGINX module for sending security headers
·
httpserverlocation
语法security_headers_text_types type1 [type2 ...];
默认值none
上下文http, server, location
参数1+
说明
security_headers_text_types 指令在 NGINX 中定义了一个 MIME 类型列表,这些类型在响应过程中会应用安全头。设置此指令后,服务器会检查响应的 Content-Type,并只对匹配的类型应用指定的安全头。这对于确保诸如 X-Frame-Options、X-XSS-Protection 等头仅在相关响应类型中发送非常有用,从而增强安全性,同时避免在不适用的媒体类型(例如 CSS 或图像)中发送不必要的头。
该指令接受一个或多个 MIME 类型作为参数,并且可以在 http、server 或 location 指令中配置。例如,常见的配置可能会指定基于文本的类型,如 text/html、application/xhtml+xml 和 text/xml,以确保安全头仅应用于 HTML 内容——这些类型都能从增强的安全头中受益。相反,通常应将二进制类型从此列表中排除,以避免在不提供安全收益的情况下发送头。
默认情况下,此指令可能未指定任何 MIME 类型,因此如果省略,模块可能会根据典型 Web 应用的需要使用预配置的默认集合。管理员在配置此指令时应考虑其内容类型,以在安全性和性能之间做出适当平衡。
配置示例
http {
security_headers on;
security_headers_text_types text/html text/xml;
}⚠
请注意仅列出适用的 MIME 类型;包含二进制类型可能会导致发送不必要的头部。
⚠
确保配置中的声明顺序不会让全局设置覆盖本地设置。