nginx網絡安全配置

在 nginx.conf 中配置

10多年的站前網站建設經驗，針對設計、前端、開發、售后、文案、推廣等六對一服務，響應快，48小時及時工作處理。全網整合營銷推廣的優勢是能夠根據用戶設備顯示端的尺寸不同，自動調整站前建站的顯示方式，使網站能夠適用不同顯示終端，在瀏覽器中調整網站的寬度，無論在任何一種瀏覽器上瀏覽網站，都能展現優雅布局與設計，從而大程度地提升瀏覽體驗。創新互聯從事“站前網站設計”,“站前網站推廣”以來，每個客戶項目都認真落實執行。

可以看到已經沒有nginx信息了

一些 WEB 語言或框架默認輸出的 x-powered-by 也會泄露網站信息，他們一般都提供了修改或移除的方法，可以自行查看手冊。如果部署上用到了 Nginx 的反向代理，也可以通過 proxy_hide_header 指令隱藏它：

通過配置Access-Control-Allow-Origin參數可以指定哪些域可以訪問你的服務器，這個值要么是* 要么是帶協議端口號確定的值， *.xx.com 都是錯誤的值。

完整配置

相關鏈接

Content Security Policy 入門教程 - 阮一峰的網絡日志 (ruanyifeng.com)

前端必須知道的 HTTP 安全頭配置 (juejin.cn)

[網站] nginx 怎么配置更安全？

可以用高防IP，可以省下架設nginx這個流程

高防IP是通過域名解析或者IP端口的接入方式，隱藏您后臺源機服務器IP，讓所有的訪問流量先經過高防IP清洗平臺，自動過濾攻擊、清洗流量，把真實用戶回源至您源機上。配置操作3-5分鐘就能完成，不需要改動源服務器、無需修改網絡架構或網站代碼。

nginx基本配置（參考）

Nginx是一款自由的、開源的、高性能的HTTP服務器和反向代理服務器；同時也是一個IMAP、POP3、SMTP代理服務器；Nginx可以作為一個HTTP服務器進行網站的發布處理，另外Nginx可以作為反向代理進行負載均衡的實現。

1、全局塊：配置影響nginx全局的指令。一般有運行nginx服務器的用戶組，nginx進程pid存放路徑，日志存放路徑，配置文件引入，允許生成worker process數等。

2、events塊：配置影響nginx服務器或與用戶的網絡連接。有每個進程的最大連接數，選取哪種事件驅動模型處理連接請求，是否允許同時接受多個網路連接，開啟多個網絡連接序列化等。

3、http塊：可以嵌套多個server，配置代理，緩存，日志定義等絕大多數功能和第三方模塊的配置。如文件引入，mime-type定義，日志自定義，是否使用sendfile傳輸文件，連接超時時間，單連接請求數等。

4、server塊：配置虛擬主機的相關參數，一個http中可以有多個server。

5、location塊：配置請求的路由，以及各種頁面的處理情況。

6、緩存控制字段cache-control的配置說明 ( )

HTTP協議的Cache -Control指定請求和響應遵循的緩存機制。在請求消息或響應消息中設置 Cache-Control并不會影響另一個消息處理過程中的緩存處理過程。

請求時的緩存指令包括: no-cache、no-store、max-age、 max-stale、min-fresh、only-if-cached等。

響應消息中的指令包括: public、private、no-cache、no- store、no-transform、must-revalidate、proxy-revalidate、max-age。

no-cache: 數據內容不能被緩存, 每次請求都重新訪問服務器, 若有max-age, 則緩存期間不訪問服務器.

no-store: 不僅不能緩存, 連暫存也不可以(即: 臨時文件夾中不能暫存該資源).

private(默認): 只能在瀏覽器中緩存, 只有在第一次請求的時候才訪問服務器, 若有max-age, 則緩存期間不訪問服務器.

public: 可以被任何緩存區緩存, 如: 瀏覽器、服務器、代理服務器等.

max-age: 相對過期時間, 即以秒為單位的緩存時間.

no-cache, private: 打開新窗口時候重新訪問服務器, 若設置max-age, 則緩存期間不訪問服務器.

設置以分鐘為單位的絕對過期時間, 優先級比Cache-Control低, 同時設置Expires和Cache-Control則后者生效. 也就是說要注意一點: Cache-Control的優先級高于Expires

expires起到控制頁面緩存的作用，合理配置expires可以減少很多服務器的請求, expires的配置可以在http段中或者server段中或者location段中. 比如控制圖片等過期時間為30天

客戶端必須設置正向代理服務器，當然前提是要知道正向代理服務器的IP地址，還有代理程序的端口。

"它代理的是客戶端，代客戶端發出請求"，是一個位于客戶端和原始服務器(origin server)之間的服務器，為了從原始服務器取得內容，客戶端向代理發送一個請求并指定目標(原始服務器)，然后代理向原始服務器轉交請求并將獲得的內容返回給客戶端?？蛻舳吮仨氁M行一些特別的設置才能使用正向代理。

正向代理的用途：

（1）訪問原來無法訪問的資源，如Google

（2） 可以做緩存，加速訪問資源

（3）對客戶端訪問授權，上網進行認證

（4）代理可以記錄用戶訪問記錄（上網行為管理），對外隱藏用戶信息

多個客戶端給服務器發送的請求，Nginx服務器接收到之后，按照一定的規則分發給了后端的業務處理服務器進行處理了。此時~請求的來源也就是客戶端是明確的，但是請求具體由哪臺服務器處理的并不明確了，Nginx扮演的就是一個反向代理角色。

客戶端是無感知代理的存在的，反向代理對外都是透明的，訪問者并不知道自己訪問的是一個代理。因為客戶端不需要任何配置就可以訪問。

反向代理，"它代理的是服務端，代服務端接收請求"，主要用于服務器集群分布式部署的情況下，反向代理隱藏了服務器的信息。

反向代理的作用：

（1）保證內網的安全，通常將反向代理作為公網訪問地址，Web服務器是內網

（2）負載均衡，通過反向代理服務器來優化網站的負載