Nginx

nginx - 位置塊內的安全標頭?

  • May 2, 2019

我一直在測試我的 nginx 設置的安全標頭 ( https://securityheaders.com ),並想用 nginx 後綴位置塊檢查人們的意見。

目前,我為http(s)://my.site得到“A+”,但是在測試後綴位置時得到“B”,即https://my.site/location1

警告是失去的:-

  • 內容安全策略
  • 推薦人政策
  • 功能政策

我的接收“A+”的伺服器塊包括:-

   add_header 'Referrer-Policy' 'no-referrer';
   add_header Strict-Transport-Security "max-age=15552000; preload" always;
   add_header X-Frame-Options "SAMEORIGIN" always;
   add_header X-Content-Type-Options "nosniff" always;
   add_header X-XSS-Protection "1; mode=block" always;
   add_header Feature-Policy "geolocation none;midi none;notifications none;push none;sync-xhr none;microphone none;camera none;magnetometer none;gyroscope none;;speaker self;vibrate none;fullscreen self;payment none;";
   add_header Content-Security-Policy "frame-ancestors my.site;";

接收“B”的範例位置塊包括:-

location /location1 {
   proxy_pass              http://192.168.1.1;
   proxy_set_header        X-Real-IP         $remote_addr;
   proxy_set_header        Host              $host;
   proxy_set_header        X-Forwarded-For   $proxy_add_x_forwarded_for;
   proxy_set_header        X-Forwarded-Proto $scheme;
   proxy_redirect          off;
   proxy_buffering         off;
   auth_basic              "Restricted";
   auth_basic_user_file    /etc/nginx/.htpasswd;
   error_log               /var/log/nginx/blah.error.log;

我已經嘗試在 location 塊中添加 CSP,但是如果這是這樣的話 - 我一定是語法錯誤。

安全標頭是否旨在級聯到位置塊?還是預期的掃描結果?還是我只是不知道…

乾杯,喬尼

報告為失去的標頭缺少always指令。我猜測正在測試的任何內容都不會返回add_header想要返回其他標頭的響應程式碼之一。

引用自:https://serverfault.com/questions/965513