4. 常见的 add_header 使用场景 安全性增强: Content-Security-Policy:防止跨站脚本攻击(XSS)和其他代码注入攻击。 X-XSS-Protection:启用 XSS 过滤,并在检测到攻击时阻塞页面。 X-Content-Type-Options:指示浏览器严格遵循响应中的 Content-Type 头部,防止 MIME 类型嗅探。 X-Frame-Options:防止点击劫持攻击,限...
add_header X-Frame-Options DENY; #允许同源框架嵌入 add_header X-Frame-Options SAMEORIGIN; Strict-Transport-Security (HSTS) 此头部强制浏览器使用 HTTPS 访问网站,提高安全性。 Nginx add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"; 2、性能优化 Cache-Control 此头部用于控制缓存...
文章作者ianzhi,原文地址:https://www.dnote.cn/users/ianzhi/posts/nginxpeizhijieshaoyuyouhua ...
一、漏洞描述 Nginx配置文件子块(server、location、if)中的add_header,将会覆盖父块中的add_header添加的HTTP头,造成一些安全隐患。 二、漏洞原理 如下列代码,整站(父块中)添加了CSP头: add_header Content-Security-Policy"default-src 'self'";add_header X-Frame-OptionsDENY;location=/test1{rewrite^(.*)$...