个人中心
gpt4 book ai didi

Laravel 5.5官方推荐的Nginx配置学习教程

转载 作者:qq735679552 更新时间:2022-09-28 22:32:09 24 4
gpt4 key购买 nike

CFSDN坚持开源创造价值,我们致力于搭建一个资源共享平台,让每一个IT人在这里找到属于你的精彩世界.

这篇CFSDN的博客文章Laravel 5.5官方推荐的Nginx配置学习教程由作者收集整理,如果你对这篇文章有兴趣,记得点赞哟.

前言 。

本文主要给大家介绍了关于Laravel 5.5官方推荐的Nginx配置的想内容,分享出来供大家参考学习,下面话不多说,来一起看看详细的介绍把.

Laravel 5.5 版本官方放出了 Nginx 服务器的配置,中文文档:服务器配置 Nginx 。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
server {
  listen 80;
  server_name example.com;
  root /example.com/ public ;
 
  add_header X-Frame-Options "SAMEORIGIN" ;
  add_header X-XSS-Protection "1; mode=block" ;
  add_header X-Content-Type-Options "nosniff" ;
 
  index index.html index.htm index.php;
 
  charset utf-8;
 
  location / {
  try_files $uri $uri / /index.php? $query_string ;
  }
 
  location = /favicon.ico { access_log off; log_not_found off; }
  location = /robots.txt { access_log off; log_not_found off; }
 
  error_page 404 /index.php;
 
  location ~ \.php$ {
  fastcgi_split_path_info ^(.+\.php)(/.+)$;
  fastcgi_pass unix:/ var /run/php/php7.1-fpm.sock;
  fastcgi_index index.php;
  include fastcgi_params;
  }
 
  location ~ /\.(?!well-known).* {
  deny all;
  }
}

自己并不擅长 Nginx,相信很多朋友跟我一样,让我们一起学习下 Nginx 的相关知识 : ) 。

1. add_header X-Frame-Options "SAMEORIGIN",

X-Frame-Options 响应头是用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击.

X-Frame-Options 有三个值

DENY 。

表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 。

表示该页面可以在相同域名页面的 frame 中展示。 ALLOW-FROM uri 。

表示该页面可以在指定来源的 frame 中展示。 该响应头设置应该比较常见,之前国外客户的安全团队有使用工具扫描我们项目的相关漏洞,其中就有这个 clickjacking 的问题,最终也是通过该设置来解决此问题.

2. add_header X-XSS-Protection "1; mode=block",

XSS 是跨站脚本攻击,是比较常见的网络攻击手段,改字段指示浏览器是否为当前页面开启浏览器内建的 XSS 过滤机制。 1 表示允许过滤器,mode=block 指示浏览器在检测到 XSS 攻击后禁止加载整个页面.

参考文章: 先知XSS挑战赛 知识点提要 。

3. add_header X-Content-Type-Options "nosniff",

该响应头设置禁用浏览器对 Content-Type 类型进行猜测的行为。因为很多情况下服务器并没有很好的配置 Content-Type 类型,因此浏览器会根据文档的数据特征来确定类型,比如攻击者可以让原本解析为图片的请求被解析为 JavaScript.

我们发现以上三个比较常见的防攻击配置,还是非常实用的,建议使用,之前我们的服务器只使用了 add_header X-Frame-Options "SAMEORIGIN"; 配置.

4. 不记录 favicon.ico 和 robots.txt 日志 。

?
1
2
location = /favicon.ico { access_log off; log_not_found off; }
location = /robots.txt { access_log off; log_not_found off; }

favicon.ico 网站头像,默认是浏览器标签页上网站小图标以及收藏时显示的小图标.

如果未在html header中指定 favicon.ico 那么浏览器默认会去访问 http://xxx.com/favicon.ico , 不存在此文件的话,那么会导致404,同时会记录到 access_log 和 error_log 中。这种记录到日志文件中是没有必要性的,因此可以取消.

robots.txt 通常是搜索引擎蜘蛛(爬虫)会去爬取的文件,在行业规范中,蜘蛛去爬取一个网站的时候会首先爬取该文件来获知网站中哪些目录文件不需要爬取,在 SEO 中 robots.txt 的正确配置是对 SEO 非常有效果的。该文件也确实没有必要记录到日志中,而且大部分网站并不存在 robots.txt 文件.

以上这些配置是可以用在大部分的网站上的,不止是 Nginx 服务器,相信 Apache 服务器也有相关的配置,如果你正在用其他web服务器,以上类似的配置也建议使用.

总结 。

以上就是这篇文章的全部内容,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对我的支持.

原文链接:https://segmentfault.com/a/1190000011404105 。

最后此篇关于Laravel 5.5官方推荐的Nginx配置学习教程的文章就讲到这里了,如果你想了解更多关于Laravel 5.5官方推荐的Nginx配置学习教程的内容请搜索CFSDN的文章或继续浏览相关文章,希望大家以后支持我的博客! 。

24 4 0
文章推荐: 使用哪些工具,可以提升 Python 项目质量
文章推荐: MySQL如何解决幻读问题
文章推荐: Vue3 学习笔记 —Vue3 的Setup 如何实现响应式功能?
文章推荐: 浅谈MySQL之select优化方案
qq735679552
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
全站热门文章
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com