常にHTTPSで通信を行えるような設定
Http Strinct Transport Securityヘッダの追加
add_header Strict-Transport-Security max-age=15768000;クリックジャッキング攻撃対策として、X-Frame-Optionsヘッダを追加
X-Frame-Optionsの設定は「DENY」もしくは「SAMEORIGIN」をすることで、自分のサイトを他のサイトにiFrameとして埋め込むことができようにすることができます。
add_header X-Frame-Options SAMEORIGIN;
XSSフィルタリングを有効にします。かつ、ブラウザはXSS攻撃を検知した場合、ページの描画を止めます。
add_header X-XSS-Protection "1; mode=block";
Content-Typeに一致しない処理は行わないように、 X-Content-Type-Optionsヘッダを追加
add_header X-Content-Type-Options nosniff;
設定完了後のconfファイルは以下の通りになります。(一例)
server { listen 80; server_name localhost; access_log /var/log/nginx/host.access.log main; add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options nosniff; add_header Strict-Transport-Security max-age=15768000; location / { root /usr/share/nginx/html; index index.html index.htm; } error_page 404 /404.html;}