Heim Betrieb und Instandhaltung Nginx Leitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien

Leitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien

Jun 10, 2023 pm 08:39 PM
nginx 策略 url安全

Nginx erfreut sich als leistungsstarker Webserver und Reverse-Proxy-Server großer Beliebtheit bei Website-Architekten. Bei der Verwendung von Nginx müssen wir jedoch auch auf Sicherheitsaspekte achten, insbesondere bei der Verarbeitung von URLs.

Aufgrund der Flexibilität von Nginx können wir, wenn wir einige URL-Sicherheitsstrategien nicht anwenden, den folgenden Angriffen ausgesetzt sein:

  1. SQL-Injection
  2. XSS-Angriff
  3. Illegaler Dateidownload
  4. CSRF-Angriff
  5. Illegale Anfrage für den Zugriff usw.

In diesem Artikel wird die Anleitung zum Schreiben der Nginx-URL-Sicherheitsrichtlinie vorgestellt.

1. Voraussetzungen

Bevor Sie eine Nginx-URL-Sicherheitsrichtlinie schreiben, müssen Sie die folgenden Wissenspunkte beherrschen:

  1. Reguläre Ausdrücke
  2. Syntax der Nginx-Konfigurationsdatei
  3. Grundkenntnisse des HTTP-Protokolls

Nginx kann die Erkennung von HTTP-Anforderungsheadern verwenden, um böswillige HTTP-Anforderungen zu verhindern. Die spezifische Implementierungsmethode besteht darin, der Nginx-Konfigurationsdatei eine Konfiguration ähnlich der folgenden hinzuzufügen:

if ($http_user_agent ~* "some evil expression") {
    return 403;
}
Nach dem Login kopieren

Oder verwenden Sie das integrierte Firewall-Modul von Nginx für die Eingabefilterung wie folgt:

# block ip sends more than 100 requests per 5 seconds
limit_conn_zone $binary_remote_addr zone=one:10m;
limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
server {
    location / {
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;
    }
}
Nach dem Login kopieren

Dieses Beispiel führt Folgendes aus:

Zuerst Definieren Sie zwei Zonen, dh einen Speicherbereich, in dem Statusinformationen gespeichert werden können. (Das bedeutet auch, dass bei vielen Zugriffen die Kosten für diesen Schutz relativ hoch sein können)
  1. Wenn dieselbe IP-Adresse innerhalb von 5 Sekunden mehr als 100 HTTP-Anfragen sendet, dann blockieren.
  2. Wenn dieselbe IP-Adresse innerhalb einer Sekunde mehr als 5 HTTP-Anfragen sendet, wird sie blockiert.
  3. 3. SQL-Injection verhindern

In der tatsächlichen Entwicklung ist es notwendig, SQL-Injection zu vermeiden. Um SQL-Injection-Angriffe zu verhindern, können wir es wie folgt konfigurieren:

location ~* (.php|.asp|.ashx)/?$ {
    if ($args ~* "select.*from") {
        return 403;
    }
}
Nach dem Login kopieren

Dieses Beispiel verwendet das integrierte if-Modul von Nginx, um zu verhindern, dass Angreifer SELECT-Anweisungen verwenden, um Daten aus der Datenbank abzurufen. In diesem Fall wird 403 Access Forbidden angezeigt zurückgegeben.

4. XSS-Angriffe verhindern

Bei XSS-Angriffen können wir die Erkennung von Eingaben verstärken. Wird ein möglicher XSS-Angriff erkannt, kann die Verbindung auf eine sichere URL umgeleitet oder eine Fehlermeldung zurückgegeben werden.

if ($args ~* "<script.*>") {
    return 403;
}
Nach dem Login kopieren

In diesem Beispiel wird das integrierte if-Modul von Nginx verwendet, um zu erkennen, ob in der URL Inhalte mit verschachtelten Skript-Tags vorhanden sind.

5. Verhindern Sie CSRF-Angriffe

Um CSRF-Angriffe zu verhindern, müssen Sie bei der Verwendung von Nginx Anfragen von externen Websites verbieten. Sie können beispielsweise die folgende Konfiguration hinzufügen:

location / {
    if ($http_referer !~ "^https?://$host/") {
        return 403;
    }
}
Nach dem Login kopieren

Dieses Beispiel verwendet das integrierte if-Modul von Nginx, um es nur auf den Empfang von Anfragen von der $host-Site zu beschränken. Wenn Anfragen von anderen Sites vorliegen, gibt Nginx 403 zurück.

6. Verhindern Sie Sicherheitslücken beim Herunterladen von Dateien

Um den Zugriff auf unzulässige Dateien wie private Dokumente, Skripte, Konfigurationsdateien usw. zu verhindern, verwenden Sie bitte die folgende Strategie:

location ~* .(xls|doc|pdf)$ {
    valid_referers none blocked server_names;
    if ($invalid_referer) {
        return 401;
    }
}
Nach dem Login kopieren

Dieses Beispiel verwendet das integrierte valid_referers-Modul von Nginx Wenn festgestellt wird, dass die Anfrage von „no“ stammt, wird 401 zurückgegeben.

7. Zugriff auf einige URLs verbieten

In tatsächlichen Projekten können einige URLs von Angreifern verwendet werden, z. B. admin.php, login.php usw. Wir können ihnen einfach den Zugang verbieten.

location ~ /(admin|login).php {
    deny all;
}
Nach dem Login kopieren

Die Konfiguration dieses Beispiels verbietet den Zugriff auf URLs, die mit admin.php und login.php enden.

8. Vollständiges Beispiel

Abschließend können wir auf der Grundlage der obigen Konfiguration das folgende vollständige Beispiel erhalten:

server {
    listen 80;
    server_name yourdomain.com;

    # 设置过滤规则
    location / {
        # 禁止非法请求
        limit_conn_zone $binary_remote_addr zone=one:10m;
        limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s;
        limit_conn one 10;
        limit_req zone=two burst=5 nodelay;

        # 防止XSS攻击
        if ($args ~* "<script.*>") {
            return 403;
        }

        # 防止SQL注入
        if ($args ~* "select.*from") {
            return 403;
        }

        # 禁止admin和login的访问
        location ~ /(admin|login).php {
            deny all;
        }
    }

    # 防止文件下载漏洞
    location ~* .(xls|doc|pdf)$ {
        valid_referers none blocked server_names;
        if ($invalid_referer) {
            return 401;
        }
    }
}
Nach dem Login kopieren

Das Obige ist die Anleitung zum Schreiben der Nginx-URL-Sicherheitsrichtlinie. Ich hoffe, es kann Ihnen bei Ihrer Nginx-Konfiguration helfen und die Sicherheit des Systems verbessern.

Das obige ist der detaillierte Inhalt vonLeitfaden zum Verfassen von Nginx-URL-Sicherheitsrichtlinien. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

AI Hentai Generator

AI Hentai Generator

Erstellen Sie kostenlos Ai Hentai.

Heiße Werkzeuge

Notepad++7.3.1

Notepad++7.3.1

Einfach zu bedienender und kostenloser Code-Editor

SublimeText3 chinesische Version

SublimeText3 chinesische Version

Chinesische Version, sehr einfach zu bedienen

Senden Sie Studio 13.0.1

Senden Sie Studio 13.0.1

Leistungsstarke integrierte PHP-Entwicklungsumgebung

Dreamweaver CS6

Dreamweaver CS6

Visuelle Webentwicklungstools

SublimeText3 Mac-Version

SublimeText3 Mac-Version

Codebearbeitungssoftware auf Gottesniveau (SublimeText3)

So konfigurieren Sie den Namen des Cloud -Server -Domänennamens in Nginx So konfigurieren Sie den Namen des Cloud -Server -Domänennamens in Nginx Apr 14, 2025 pm 12:18 PM

So konfigurieren Sie einen Nginx -Domänennamen auf einem Cloud -Server: Erstellen Sie einen Datensatz, der auf die öffentliche IP -Adresse des Cloud -Servers zeigt. Fügen Sie virtuelle Hostblöcke in die NGINX -Konfigurationsdatei hinzu, wobei der Hörport, Domänenname und das Root -Verzeichnis der Website angegeben werden. Starten Sie Nginx neu, um die Änderungen anzuwenden. Greifen Sie auf die Konfiguration des Domänennamens zu. Weitere Hinweise: Installieren Sie das SSL -Zertifikat, um HTTPS zu aktivieren, sicherzustellen, dass die Firewall den Verkehr von Port 80 ermöglicht, und warten Sie, bis die DNS -Auflösung wirksam wird.

So überprüfen Sie, ob Nginx gestartet wird So überprüfen Sie, ob Nginx gestartet wird Apr 14, 2025 pm 01:03 PM

So bestätigen Sie, ob Nginx gestartet wird: 1. Verwenden Sie die Befehlszeile: SystemCTL Status Nginx (Linux/Unix), Netstat -ano | FindStr 80 (Windows); 2. Überprüfen Sie, ob Port 80 geöffnet ist; 3. Überprüfen Sie die Nginx -Startmeldung im Systemprotokoll. 4. Verwenden Sie Tools von Drittanbietern wie Nagios, Zabbix und Icinga.

So erstellen Sie einen Spiegel in Docker So erstellen Sie einen Spiegel in Docker Apr 15, 2025 am 11:27 AM

Schritte zum Erstellen eines Docker -Images: Schreiben Sie eine Dockerfile, die die Build -Anweisungen enthält. Erstellen Sie das Bild im Terminal mit dem Befehl Docker Build. Markieren Sie das Bild und weisen Sie Namen und Tags mit dem Befehl Docker Tag zu.

So überprüfen Sie die Nginx -Version So überprüfen Sie die Nginx -Version Apr 14, 2025 am 11:57 AM

Die Methoden, die die Nginx -Version abfragen können, sind: Verwenden Sie den Befehl nginx -v; Zeigen Sie die Versionsrichtlinie in der Datei nginx.conf an. Öffnen Sie die Nginx -Fehlerseite und sehen Sie sich den Seitentitel an.

So starten Sie den Nginx -Server So starten Sie den Nginx -Server Apr 14, 2025 pm 12:27 PM

Das Starten eines Nginx-Servers erfordert unterschiedliche Schritte gemäß verschiedenen Betriebssystemen: Linux/UNIX-System: Installieren Sie das NGINX-Paket (z. B. mit APT-Get oder Yum). Verwenden Sie SystemCTL, um einen Nginx -Dienst zu starten (z. B. sudo systemctl start nginx). Windows -System: Laden Sie Windows -Binärdateien herunter und installieren Sie sie. Starten Sie Nginx mit der ausführbaren Datei nginx.exe (z. B. nginx.exe -c conf \ nginx.conf). Unabhängig davon, welches Betriebssystem Sie verwenden, können Sie auf die Server -IP zugreifen

Wie kann ich überprüfen, ob Nginx begonnen wird? Wie kann ich überprüfen, ob Nginx begonnen wird? Apr 14, 2025 pm 12:48 PM

Verwenden Sie unter Linux den folgenden Befehl, um zu überprüfen, ob Nginx gestartet wird: SystemCTL -Status Nginx Richter basierend auf der Befehlsausgabe: Wenn "aktiv: aktiv (lief) angezeigt wird, wird Nginx gestartet. Wenn "Active: Inactive (Dead)" angezeigt wird, wird Nginx gestoppt.

So starten Sie Nginx unter Linux So starten Sie Nginx unter Linux Apr 14, 2025 pm 12:51 PM

Schritte zum Starten von Nginx unter Linux: Überprüfen Sie, ob Nginx installiert ist. Verwenden Sie SystemCTL Start Nginx, um den Nginx -Dienst zu starten. Verwenden Sie SystemCTL aktivieren NGINX, um das automatische Start von NGINX beim Systemstart zu aktivieren. Verwenden Sie den SystemCTL -Status NGINX, um zu überprüfen, ob das Startup erfolgreich ist. Besuchen Sie http: // localhost in einem Webbrowser, um die Standard -Begrüßungsseite anzuzeigen.

So lösen Sie Nginx403 So lösen Sie Nginx403 Apr 14, 2025 am 10:33 AM

Wie fixiere ich Nginx 403 Verbotener Fehler? Überprüfen Sie die Datei- oder Verzeichnisberechtigungen; 2.Htaccess -Datei prüfen; 3. Überprüfen Sie die Konfigurationsdatei der Nginx; 4. Starten Sie Nginx neu. Weitere mögliche Ursachen sind Firewall -Regeln, Selinux -Einstellungen oder Anwendungsprobleme.

See all articles