基础安全配置:隐藏服务器信息
Nginx默认会暴露版本号(如nginx/1.15.11),这便于攻击者匹配已知漏洞。
#nginx\conf\nginx.conf的http块中添加:
server_tokens off;
重启Nginx,发现response的Server头只有nginx没有版本
HTTPS强制与Cookie安全
确保全站HTTPS,并为Cookie添加Secure、HttpOnly和SameSite属性,防止明文传输窃取。
php.ini
session.cookie_secure = 1
session.cookie_httponly = 1
session.cookie_samesite = "Strict"
Nginx配置(nginx.conf server块)强制HTTP跳转HTTPS
server {listen 80;server_name your-domain.com;return 301 https://$host$request_uri;
}add_header Set-Cookie "Secure; HttpOnly; SameSite=Strict" always;
防止点击劫持:添加X-Frame-Options
缺少此头可能导致Clickjacking攻击。
#在nginx.conf server块添加:
textadd_header X-Frame-Options "SAMEORIGIN" always;
#或增强为CSP:
textadd_header Content-Security-Policy "frame-ancestors 'self';" always;
重启Nginx。测试:尝试iframe嵌套,应被浏览器拒绝
修复PHP任意文件解析漏洞
cgi.fix_pathinfo=1结合Nginx规则允许解析非PHP文件如图片马。
风险
攻击者上传恶意文件后构造路径执行代码,获Shell。
加固步骤
#php.ini
cgi.fix_pathinfo=0
#php-fpm.conf
[www]块下security.limit_extensions = .php .php3 .php4 .php5 .php7
# Nginx location ~ .php$ 块添加:
texttry_files $uri =404;
重启服务。测试:访问/test.jpg/.php应返回404
