站点是基于

作者: 金沙澳门官网网址  发布:2019-10-29

MIME类型的嗅探,此标头幸免大超级多浏览器从申明的剧情类型中嗅探响应,因为标头提醒浏览器不要覆盖响应内容类型,使用nosniff选项

编辑nginx.conf文件:

vi /etc/nginx/nginx.conf

添加行
add_header X-Content-Type-Options nosniff;

上文的nginx.conf已安顿好此标头,保存文件,重新开动Nginx

 

有几处要求转移

• server_name改成你的域名=申请证书绑定的域名

• ssl_certificate改成你的公钥路线

• ssl_certificate_key改成你的私钥路线

主题配置

style="color: #333300;">• 通过点名由受信任的表明颁发机构(CA)颁发的有用申明,将服务器配置为侦听端口上的HTTPS流量。

style="color: #333300;">• 通过安插nginx.conf文本来提升安全性。示例富含精选更加强有力的密码,并将装有流量通过HTTP重定向到HTTPS。

style="color: #333300;">• 添加HTTP Strict-Transport-Security(HSTS)底部确认保障客户端所做的具备继续央浼仅经过HTTPS。

 

nginx配置ssl,供给保证nginx富含相应的模块--with-http_ssl_module

翻看nginx安装参数是还是不是曾经包含此模块,假如未包括请先安装此模块

nginx -V

 添加/etc/nginx/proxy.conf布置文件:

vi etc/nginx/proxy.conf

proxy_redirect             off;
proxy_set_header         Host             $host;
proxy_set_header        X-Real-IP         $remote_addr;
proxy_set_header        X-Forwarded-For    $proxy_add_x_forwarded_for;
proxy_set_header    X-Forwarded-Proto $scheme;
client_max_body_size     10m;
client_body_buffer_size 128k;
proxy_connect_timeout     90;
proxy_send_timeout         90;
proxy_read_timeout         90;
proxy_buffers            32 4k;

编辑/etc/nginx/nginx.conf配置文件。配置重要含有多个部分httpserver。(若是有同学是安顿在conf.d下的default.conf,能够将其备份或删除)

vi /etc/nginx/nginx.conf

http {
    include    /etc/nginx/proxy.conf;
    limit_req_zone $binary_remote_addr zone=one:10m rate=5r/s;
    server_tokens off;

    sendfile on;
    keepalive_timeout 29; # Adjust to the lowest possible value that makes sense for your use case.
    client_body_timeout 10; client_header_timeout 10; send_timeout 10;

    upstream hellomvc{
        server localhost:5000;
    }

    server {
        listen *:80;
        add_header Strict-Transport-Security max-age=15768000;
        return 301 https://$host$request_uri;
    }

    server {
        listen *:443    ssl;
        server_name     example.com;
        ssl_certificate /etc/ssl/certs/testCert.crt;
        ssl_certificate_key /etc/ssl/certs/testCert.key;
        ssl_protocols TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        ssl_ciphers "EECDH AESGCM:EDH AESGCM:AES256 EECDH:AES256 EDH";
        ssl_ecdh_curve secp384r1;
        ssl_session_cache shared:SSL:10m;
        ssl_session_tickets off;
        ssl_stapling on; #ensure your cert is capable
        ssl_stapling_verify on; #ensure your cert is capable

        add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
        add_header X-Frame-Options DENY;
        add_header X-Content-Type-Options nosniff;

        #Redirects all traffic
        location / {
            proxy_pass  http://hellomvc;
            limit_req   zone=one burst=10;
        }
    }
}

1.依据nginx铺排好的站点(本文站点是基于.Net Core2.0开荒的WebApi,有意思味的同室能够跳)

堤防Clickjacking(点击压迫),Clickjacking是黄金年代种恶意技艺来搜求受感染的客户的点击。吓唬受害者(访谈者)点击感染的网址,使用X-FRAME-OPTIONS。

编辑nginx.conf文件:

vi /etc/nginx/nginx.conf

将配置中的
add_header X-Frame-Options DENY;
更改为
add_header X-Frame-Options SAMEORIGIN;

重复加载nginx

service nginx reload

预备干活

有的安然无事铺排

2.证书颁发机构(CA)颁发的平价证件,在那之中我们必要多个文本,贰个是 .key文件(私钥),另二个是 .crt或.pem文件(公钥)

 

本文由金沙澳门官网发布于金沙澳门官网网址,转载请注明出处:站点是基于

关键词: 金沙澳门官网

上一篇:CentOS 7 Minimal 安装JDK 1.8
下一篇:没有了