在Nginx配置中,您可以使用add_header指令来设置安全头信息。以下是一些常见的安全头信息及其设置方法:
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://trustedscripts.example.com; object-src 'none';";
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header Referrer-Policy "no-referrer-when-downgrade";
add_header Feature-Policy "accelerometer 'none'; camera 'none'; geolocation 'none';";
add_header Permissions-Policy "accelerometer=(), camera=(), geolocation=()";
您可以根据需要将这些指令添加到http、server或location块中。例如,如果您希望为所有请求设置这些安全头信息,可以将它们添加到http块中。如果您只想为特定虚拟主机或路径设置这些头信息,可以将它们添加到相应的server或location块中。
请注意,某些头信息可能会与您的应用程序功能冲突,因此在应用这些更改之前,请确保充分测试您的应用程序以确保一切正常运行。
