AI给了些建议如下,想问下建站老手们,这方面的加强有哪些优缺点?还是建站必做的?
| Header | 配置指令 | 目的 |
|---|---|---|
| HSTS | "add_header Strict-Transport-Security ""max-age=63072000; includeSubDomains; preload"" always;" | 最重要。 强制浏览器在未来两年内只通过 HTTPS 访问您的域名,防止中间人攻击。 |
| Clickjacking | "add_header X-Frame-Options ""SAMEORIGIN"" always;" | 防止您的网站被嵌入到恶意网站的 <iframe> 中,防止点击劫持。 |
| MIME Sniffing | "add_header X-Content-Type-Options ""nosniff"" always;" | 防止浏览器错误地将内容解释为不同的 MIME 类型(例如,将文本文件解释为可执行脚本)。 |
| Referrer 策略 | "add_header Referrer-Policy ""strict-origin-when-cross-origin"" always;" | 控制浏览器发送给外部链接的 Referer 信息,保护用户隐私。 |
| 隐藏 Nginx 版本 | server_tokens off; | 隐藏 Nginx 版本号,防止攻击者利用已知漏洞。该指令位于 Nginx 主配置文件 /etc/nginx/nginx.conf 的 http 块中。 |
评论 (0)