Leitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien
Nginx erfreut sich als leistungsstarker Webserver und Reverse-Proxy-Server großer Beliebtheit bei Website-Architekten. Bei der Verwendung von Nginx müssen wir jedoch auch auf Sicherheitsaspekte achten, insbesondere bei der Verarbeitung von URLs.
Aufgrund der Flexibilität von Nginx können wir, wenn wir einige URL-Sicherheitsstrategien nicht anwenden, den folgenden Angriffen ausgesetzt sein:
- SQL-Injection
- XSS-Angriff
- Illegaler Dateidownload
- CSRF-Angriff
- Illegale Anfrage für den Zugriff usw.
In diesem Artikel wird die Anleitung zum Schreiben der Nginx-URL-Sicherheitsrichtlinie vorgestellt.
1. Voraussetzungen
Bevor Sie eine Nginx-URL-Sicherheitsrichtlinie schreiben, müssen Sie die folgenden Wissenspunkte beherrschen:
- Reguläre Ausdrücke
- Syntax der Nginx-Konfigurationsdatei
- Grundkenntnisse des HTTP-Protokolls
Nginx kann die Erkennung von HTTP-Anforderungsheadern verwenden, um böswillige HTTP-Anforderungen zu verhindern. Die spezifische Implementierungsmethode besteht darin, der Nginx-Konfigurationsdatei eine Konfiguration ähnlich der folgenden hinzuzufügen:
if ($http_user_agent ~* "some evil expression") { return 403; }
Oder verwenden Sie das integrierte Firewall-Modul von Nginx für die Eingabefilterung wie folgt:
# block ip sends more than 100 requests per 5 seconds limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s; server { location / { limit_conn one 10; limit_req zone=two burst=5 nodelay; } }
Dieses Beispiel führt Folgendes aus:
Zuerst Definieren Sie zwei Zonen, dh einen Speicherbereich, in dem Statusinformationen gespeichert werden können. (Das bedeutet auch, dass bei vielen Zugriffen die Kosten für diesen Schutz relativ hoch sein können)- Wenn dieselbe IP-Adresse innerhalb von 5 Sekunden mehr als 100 HTTP-Anfragen sendet, dann blockieren.
- Wenn dieselbe IP-Adresse innerhalb einer Sekunde mehr als 5 HTTP-Anfragen sendet, wird sie blockiert. 3. SQL-Injection verhindern
In der tatsächlichen Entwicklung ist es notwendig, SQL-Injection zu vermeiden. Um SQL-Injection-Angriffe zu verhindern, können wir es wie folgt konfigurieren:
location ~* (.php|.asp|.ashx)/?$ { if ($args ~* "select.*from") { return 403; } }
Dieses Beispiel verwendet das integrierte if-Modul von Nginx, um zu verhindern, dass Angreifer SELECT-Anweisungen verwenden, um Daten aus der Datenbank abzurufen. In diesem Fall wird 403 Access Forbidden angezeigt zurückgegeben.
4. XSS-Angriffe verhindern
Bei XSS-Angriffen können wir die Erkennung von Eingaben verstärken. Wird ein möglicher XSS-Angriff erkannt, kann die Verbindung auf eine sichere URL umgeleitet oder eine Fehlermeldung zurückgegeben werden.
if ($args ~* "<script.*>") { return 403; }
In diesem Beispiel wird das integrierte if-Modul von Nginx verwendet, um zu erkennen, ob in der URL Inhalte mit verschachtelten Skript-Tags vorhanden sind.
5. Verhindern Sie CSRF-Angriffe
Um CSRF-Angriffe zu verhindern, müssen Sie bei der Verwendung von Nginx Anfragen von externen Websites verbieten. Sie können beispielsweise die folgende Konfiguration hinzufügen:
location / { if ($http_referer !~ "^https?://$host/") { return 403; } }
Dieses Beispiel verwendet das integrierte if-Modul von Nginx, um es nur auf den Empfang von Anfragen von der $host-Site zu beschränken. Wenn Anfragen von anderen Sites vorliegen, gibt Nginx 403 zurück.
6. Verhindern Sie Sicherheitslücken beim Herunterladen von Dateien
Um den Zugriff auf unzulässige Dateien wie private Dokumente, Skripte, Konfigurationsdateien usw. zu verhindern, verwenden Sie bitte die folgende Strategie:
location ~* .(xls|doc|pdf)$ { valid_referers none blocked server_names; if ($invalid_referer) { return 401; } }
Dieses Beispiel verwendet das integrierte valid_referers-Modul von Nginx Wenn festgestellt wird, dass die Anfrage von „no“ stammt, wird 401 zurückgegeben.
7. Zugriff auf einige URLs verbieten
In tatsächlichen Projekten können einige URLs von Angreifern verwendet werden, z. B. admin.php, login.php usw. Wir können ihnen einfach den Zugang verbieten.
location ~ /(admin|login).php { deny all; }
Die Konfiguration dieses Beispiels verbietet den Zugriff auf URLs, die mit admin.php und login.php enden.
8. Vollständiges Beispiel
Abschließend können wir auf der Grundlage der obigen Konfiguration das folgende vollständige Beispiel erhalten:
server { listen 80; server_name yourdomain.com; # 设置过滤规则 location / { # 禁止非法请求 limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s; limit_conn one 10; limit_req zone=two burst=5 nodelay; # 防止XSS攻击 if ($args ~* "<script.*>") { return 403; } # 防止SQL注入 if ($args ~* "select.*from") { return 403; } # 禁止admin和login的访问 location ~ /(admin|login).php { deny all; } } # 防止文件下载漏洞 location ~* .(xls|doc|pdf)$ { valid_referers none blocked server_names; if ($invalid_referer) { return 401; } } }
Das Obige ist die Anleitung zum Schreiben der Nginx-URL-Sicherheitsrichtlinie. Ich hoffe, es kann Ihnen bei Ihrer Nginx-Konfiguration helfen und die Sicherheit des Systems verbessern.
Das obige ist der detaillierte Inhalt vonLeitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Heiße KI -Werkzeuge

Undresser.AI Undress
KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover
Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool
Ausziehbilder kostenlos

Clothoff.io
KI-Kleiderentferner

AI Hentai Generator
Erstellen Sie kostenlos Ai Hentai.

Heißer Artikel

Heiße Werkzeuge

Notepad++7.3.1
Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version
Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1
Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6
Visuelle Webentwicklungstools

SublimeText3 Mac-Version
Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

Heiße Themen



So konfigurieren Sie einen Nginx -Domänennamen auf einem Cloud -Server: Erstellen Sie einen Datensatz, der auf die öffentliche IP -Adresse des Cloud -Servers zeigt. Fügen Sie virtuelle Hostblöcke in die NGINX -Konfigurationsdatei hinzu, wobei der Hörport, Domänenname und das Root -Verzeichnis der Website angegeben werden. Starten Sie Nginx neu, um die Änderungen anzuwenden. Greifen Sie auf die Konfiguration des Domänennamens zu. Weitere Hinweise: Installieren Sie das SSL -Zertifikat, um HTTPS zu aktivieren, sicherzustellen, dass die Firewall den Verkehr von Port 80 ermöglicht, und warten Sie, bis die DNS -Auflösung wirksam wird.

So bestätigen Sie, ob Nginx gestartet wird: 1. Verwenden Sie die Befehlszeile: SystemCTL Status Nginx (Linux/Unix), Netstat -ano | FindStr 80 (Windows); 2. Überprüfen Sie, ob Port 80 geöffnet ist; 3. Überprüfen Sie die Nginx -Startmeldung im Systemprotokoll. 4. Verwenden Sie Tools von Drittanbietern wie Nagios, Zabbix und Icinga.

Schritte zum Erstellen eines Docker -Images: Schreiben Sie eine Dockerfile, die die Build -Anweisungen enthält. Erstellen Sie das Bild im Terminal mit dem Befehl Docker Build. Markieren Sie das Bild und weisen Sie Namen und Tags mit dem Befehl Docker Tag zu.

Die Methoden, die die Nginx -Version abfragen können, sind: Verwenden Sie den Befehl nginx -v; Zeigen Sie die Versionsrichtlinie in der Datei nginx.conf an. Öffnen Sie die Nginx -Fehlerseite und sehen Sie sich den Seitentitel an.

Das Starten eines Nginx-Servers erfordert unterschiedliche Schritte gemäß verschiedenen Betriebssystemen: Linux/UNIX-System: Installieren Sie das NGINX-Paket (z. B. mit APT-Get oder Yum). Verwenden Sie SystemCTL, um einen Nginx -Dienst zu starten (z. B. sudo systemctl start nginx). Windows -System: Laden Sie Windows -Binärdateien herunter und installieren Sie sie. Starten Sie Nginx mit der ausführbaren Datei nginx.exe (z. B. nginx.exe -c conf \ nginx.conf). Unabhängig davon, welches Betriebssystem Sie verwenden, können Sie auf die Server -IP zugreifen

Verwenden Sie unter Linux den folgenden Befehl, um zu überprüfen, ob Nginx gestartet wird: SystemCTL -Status Nginx Richter basierend auf der Befehlsausgabe: Wenn "aktiv: aktiv (lief) angezeigt wird, wird Nginx gestartet. Wenn "Active: Inactive (Dead)" angezeigt wird, wird Nginx gestoppt.

Schritte zum Starten von Nginx unter Linux: Überprüfen Sie, ob Nginx installiert ist. Verwenden Sie SystemCTL Start Nginx, um den Nginx -Dienst zu starten. Verwenden Sie SystemCTL aktivieren NGINX, um das automatische Start von NGINX beim Systemstart zu aktivieren. Verwenden Sie den SystemCTL -Status NGINX, um zu überprüfen, ob das Startup erfolgreich ist. Besuchen Sie http: // localhost in einem Webbrowser, um die Standard -Begrüßungsseite anzuzeigen.

Wie fixiere ich Nginx 403 Verbotener Fehler? Überprüfen Sie die Datei- oder Verzeichnisberechtigungen; 2.Htaccess -Datei prüfen; 3. Überprüfen Sie die Konfigurationsdatei der Nginx; 4. Starten Sie Nginx neu. Weitere mögliche Ursachen sind Firewall -Regeln, Selinux -Einstellungen oder Anwendungsprobleme.
