gpt4 book ai didi

ubuntu - Nginx hsts 选项禁用其他安全性

转载 作者:太空宇宙 更新时间:2023-11-03 17:07:21 26 4
gpt4 key购买 nike

我在 /etc/nginx/sites-available/default 中有这个配置

server {
listen 443 ssl; # managed by Certbot
...
# add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; ";
}

我在 /etc/nginx/nginx.conf 中有以下内容

http {
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
...

}

现在,如果我使用具有该配置的 https://securityheaders.io/ 测试我的网站,我将通过 XSS、内容类型和框架的 3 个测试,但我没有通过 HSTS 测试.

如果我评论 HSTS add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; "; 行,我确实通过了 STS 测试,但我不要再超过其他 3 个。我究竟做错了什么?

最佳答案

http block 中定义的 add_header 语句不会server block 继承,当有另一个add_header 语句在较低的 block 级别。

来自 the documentation :

These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.


您需要将 add_header 语句放在一起 - 这在这种情况下很不方便。

一种可能性是将通用语句移到单独的文件中,以便它们可以包含在 include 语句中。

例如:

server {
...
add_header Strict-Transport-Security "...";
include /path/to/common.headers;
}

关于ubuntu - Nginx hsts 选项禁用其他安全性,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/49069662/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com