Nginx
nginx - 位置塊內的安全標頭?
我一直在測試我的 nginx 設置的安全標頭 ( https://securityheaders.com ),並想用 nginx 後綴位置塊檢查人們的意見。
目前,我為http(s)://my.site得到“A+”,但是在測試後綴位置時得到“B”,即https://my.site/location1
警告是失去的:-
- 內容安全策略
- 推薦人政策
- 功能政策
我的接收“A+”的伺服器塊包括:-
add_header 'Referrer-Policy' 'no-referrer'; add_header Strict-Transport-Security "max-age=15552000; preload" always; add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header X-XSS-Protection "1; mode=block" always; add_header Feature-Policy "geolocation none;midi none;notifications none;push none;sync-xhr none;microphone none;camera none;magnetometer none;gyroscope none;;speaker self;vibrate none;fullscreen self;payment none;"; add_header Content-Security-Policy "frame-ancestors my.site;";
接收“B”的範例位置塊包括:-
location /location1 { proxy_pass http://192.168.1.1; proxy_set_header X-Real-IP $remote_addr; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_redirect off; proxy_buffering off; auth_basic "Restricted"; auth_basic_user_file /etc/nginx/.htpasswd; error_log /var/log/nginx/blah.error.log;
我已經嘗試在 location 塊中添加 CSP,但是如果這是這樣的話 - 我一定是語法錯誤。
安全標頭是否旨在級聯到位置塊?還是預期的掃描結果?還是我只是不知道…
乾杯,喬尼
報告為失去的標頭缺少
always
指令。我猜測正在測試的任何內容都不會返回add_header
想要返回其他標頭的響應程式碼之一。