2019年7月24日水曜日

脆弱性を防ぐためのNginxセキュリティ設定

常にHTTPSで通信を行えるような設定

Http Strinct Transport Securityヘッダの追加
 add_header Strict-Transport-Security max-age=15768000;

クリックジャッキング攻撃対策として、X-Frame-Optionsヘッダを追加

X-Frame-Optionsの設定は「DENY」もしくは「SAMEORIGIN」をすることで、自分のサイトを他のサイトにiFrameとして埋め込むことができようにすることができます。
  add_header X-Frame-Options SAMEORIGIN;

XSSフィルタリングを有効にします。かつ、ブラウザはXSS攻撃を検知した場合、ページの描画を止めます。

  add_header X-XSS-Protection "1; mode=block";

Content-Typeに一致しない処理は行わないように、 X-Content-Type-Optionsヘッダを追加

  add_header X-Content-Type-Options nosniff;

設定完了後のconfファイルは以下の通りになります。(一例)

server {
    listen       80;
    server_name  localhost;
    access_log  /var/log/nginx/host.access.log  main;
     
    add_header X-Frame-Options SAMEORIGIN;
    add_header X-XSS-Protection "1; mode=block";
    add_header X-Content-Type-Options nosniff;
    add_header Strict-Transport-Security max-age=15768000;
    
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }
    error_page  404              /404.html;
}

0 件のコメント:

コメントを投稿