Nginx安全防护全攻略：从响应头配置到Host头防御

1. Nginx安全防护基础概念

Nginx作为当前最流行的Web服务器之一，其安全性直接关系到整个网站系统的稳定运行。很多运维人员在使用Nginx时，往往只关注基本的服务部署和性能调优，却忽视了安全防护这个关键环节。实际上，一套完整的安全防护体系应该从响应头配置、Host头防御到错误信息处理等多个层面进行构建。

我曾经接手过一个被恶意攻击的电商网站，攻击者利用未配置安全响应头的漏洞，成功实施了XSS攻击，导致大量用户数据泄露。这个惨痛教训让我深刻认识到Nginx安全配置的重要性。安全防护不是可有可无的附加功能，而是保障业务连续性的基础工作。

Nginx的安全防护主要涉及三个方面：首先是各类安全响应头的正确配置，这些头部信息可以指示浏览器采取特定的安全策略；其次是Host头攻击防御，防止攻击者通过伪造Host头实施钓鱼或中间人攻击；最后是错误页面信息防护，避免系统内部信息泄露给攻击者提供可乘之机。

2. 关键安全响应头配置实战

2.1 XSS防护配置详解

X-XSS-Protection响应头是防御跨站脚本攻击的第一道防线。虽然现代浏览器已经内置了XSS防护机制，但显式配置这个响应头可以确保更一致的安全行为。在实际配置中，我强烈建议使用"1; mode=block"这个参数组合，它不仅能启用XSS保护，还会在检测到攻击时直接阻止页面渲染。

配置方法很简单，在Nginx的server块中添加以下指令：

add_header X-XSS-Protection "1; mode=block" always;

这里有个容易忽略的细节：一定要加上always参数。我曾经遇到过不加always导致错误页面没有XSS防护头的情况，这会给攻击者留下可乘之机。配置完成后，可以通过curl命令验证：

curl -I http://yourdomain.com

在返回的HTTP头中应该能看到X-XSS-Protection: 1; mode=block的字段。

2.2 点击劫持防护配置

X-Frame-Options响应头可以有效防止点击劫持攻击。在实际业务中，我推荐使用SAMEORIGIN这个选项，它允许页面在相同域名下的frame中展示，同时阻止其他网站的嵌套。

配置示例：

add_header X-Frame-Options SAMEORIGIN;

对于金融类网站或后台管理系统，可以考虑使用更严格的DENY选项。有个客户曾经因为使用ALLOW-FROM选项导致兼容性问题，因为部分浏览器并不支持这个参数。所以除非有特殊需求，否则SAMEORIGIN是最稳妥的选择。

验证方法同样简单：

curl -I http://yourdomain.com | grep X-Frame-Options

3. 高级安全防护策略

3.1 强制HTTPS传输安全

Strict-Transport-Security（HSTS）是保障HTTPS安全的重要机制。一旦配置，浏览器将在指定时间内强制使用HTTPS连接，有效防止SSL剥离攻击。我建议的配置如下：

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

这个配置有几个关键点需要注意：max-age设置为2年（63072000秒），includeSubDomains确保所有子域名也启用HSTS，preload参数可以将网站加入浏览器的HSTS预加载列表。但要注意，首次部署时应先设置较短的max-age（如300秒），确认无误后再延长。

3.2 内容安全策略配置

Content-Security-Policy（CSP）是防御XSS攻击的终极武器。通过定义允许加载资源的白名单，可以有效阻止恶意脚本执行。一个中等安全级别的CSP配置示例如下：

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' cdn.example.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-ancestors 'none';";

配置CSP时需要特别注意业务兼容性。我曾经因为过于严格的配置导致网站的部分功能无法正常使用。建议先在报告模式下测试：

add_header Content-Security-Policy-Report-Only "default-src 'self'; report-uri /csp-report";

4. Host头攻击防御实战

4.1 Host头校验配置

Host头攻击是Nginx面临的主要威胁之一。攻击者通过伪造Host头，可能实施钓鱼攻击或绕过安全限制。防御方法是在server块中添加严格校验：

server { listen 80; server_name example.com; if ($http_Host !~* ^(example\.com|www\.example\.com)$) { return 403; } }

这个配置只允许example.com和www.example.com两个Host头值，其他请求都将返回403禁止访问。对于多域名场景，可以用"|"分隔多个合法域名。

4.2 默认server块防护

设置默认server块是防御Host头攻击的另一道防线。所有未匹配的Host头请求都会被这个默认块处理：

server { listen 80 default_server; server_name _; return 444; # 直接关闭连接 }

使用return 444而不是403有个好处：攻击者无法从响应中获取任何有用信息。我在一次安全审计中发现，使用403的响应反而会给攻击者提供反馈，让他们知道服务器在运行。

5. 错误信息与日志防护

5.1 自定义错误页面配置

Nginx默认的错误页面往往会泄露服务器内部路径等敏感信息。通过配置自定义错误页面可以有效防止这种信息泄露：

error_page 404 /error.html; location = /error.html { internal; root /usr/share/nginx/html; }

同时要记得关闭服务器标记：

server_tokens off;

这个简单的配置可以隐藏Nginx版本信息，避免攻击者利用特定版本的已知漏洞。

5.2 错误日志保护

错误日志中也可能包含敏感信息，需要特别注意保护。除了设置适当的文件权限外，还应该阻止直接访问：

location = /error.log { deny all; return 403; }

在实际运维中，我建议定期检查错误日志，及时发现并处理潜在的安全问题。可以使用logrotate工具定期轮转日志，并设置适当的保留策略。