前言

本文主要給大家介紹了關(guān)于Laravel 5.5官方推薦的Nginx配置的想內(nèi)容，分享出來供大家參考學習，下面話不多說，來一起看看詳細的介紹把。

Laravel 5.5 版本官方放出了 Nginx 服務(wù)器的配置，中文文檔：服務(wù)器配置 Nginx

自己并不擅長 Nginx，相信很多朋友跟我一樣，讓我們一起學習下 Nginx 的相關(guān)知識 : )

1. add_header X-Frame-Options "SAMEORIGIN";

X-Frame-Options 響應(yīng)頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標記。網(wǎng)站可以使用此功能，來確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去，也從而避免了點擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個值:

DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。
SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。
ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。
該響應(yīng)頭設(shè)置應(yīng)該比較常見，之前國外客戶的安全團隊有使用工具掃描我們項目的相關(guān)漏洞，其中就有這個 clickjacking 的問題，最終也是通過該設(shè)置來解決此問題。

2. add_header X-XSS-Protection "1; mode=block";

XSS 是跨站腳本攻擊，是比較常見的網(wǎng)絡(luò)攻擊手段，改字段指示瀏覽器是否為當前頁面開啟瀏覽器內(nèi)建的 XSS 過濾機制。 1 表示允許過濾器，mode=block 指示瀏覽器在檢測到 XSS 攻擊后禁止加載整個頁面。

參考文章： 先知XSS挑戰(zhàn)賽 知識點提要

3. add_header X-Content-Type-Options "nosniff";

該響應(yīng)頭設(shè)置禁用瀏覽器對 Content-Type 類型進行猜測的行為。因為很多情況下服務(wù)器并沒有很好的配置 Content-Type 類型，因此瀏覽器會根據(jù)文檔的數(shù)據(jù)特征來確定類型，比如攻擊者可以讓原本解析為圖片的請求被解析為 JavaScript。

我們發(fā)現(xiàn)以上三個比較常見的防攻擊配置，還是非常實用的，建議使用，之前我們的服務(wù)器只使用了 add_header X-Frame-Options "SAMEORIGIN"; 配置。

4. 不記錄 favicon.ico 和 robots.txt 日志

favicon.ico 網(wǎng)站頭像，默認是瀏覽器標簽頁上網(wǎng)站小圖標以及收藏時顯示的小圖標。

如果未在html header中指定 favicon.ico 那么瀏覽器默認會去訪問 http://xxx.com/favicon.ico , 不存在此文件的話，那么會導致404，同時會記錄到 access_log 和 error_log 中。這種記錄到日志文件中是沒有必要性的，因此可以取消。

robots.txt 通常是搜索引擎蜘蛛（爬蟲）會去爬取的文件，在行業(yè)規(guī)范中，蜘蛛去爬取一個網(wǎng)站的時候會首先爬取該文件來獲知網(wǎng)站中哪些目錄文件不需要爬取，在 SEO 中 robots.txt 的正確配置是對 SEO 非常有效果的。該文件也確實沒有必要記錄到日志中，而且大部分網(wǎng)站并不存在 robots.txt 文件。

以上這些配置是可以用在大部分的網(wǎng)站上的，不止是 Nginx 服務(wù)器，相信 Apache 服務(wù)器也有相關(guān)的配置，如果你正在用其他web服務(wù)器，以上類似的配置也建議使用。

總結(jié)

以上就是這篇文章的全部內(nèi)容，希望本文的內(nèi)容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對服務(wù)器之家的支持。

原文鏈接：https://segmentfault.com/a/1190000011404105