Nginx URL セキュリティポリシー作成ガイド-Nginx-php.cn

Nginx は、高性能 Web サーバーおよびリバースプロキシサーバーとして、Web サイト設計者に広く支持されています。ただし、Nginx を使用する場合、特に URL を処理する場合には、セキュリティの問題にも注意する必要があります。

Nginx の柔軟性により、URL セキュリティ戦略を採用しないと、次の攻撃を受ける可能性があります:

SQL インジェクション
XSS攻撃
不正なファイルダウンロード
##不正なアクセス要求など
#この記事ではNginx URLの書き方ガイドを紹介します。セキュリティポリシー。

1. 前提条件

Nginx URL セキュリティポリシーを作成する前に、次の知識ポイントを習得する必要があります:

正規表現

HTTP プロトコルの基本知識
2. 入力フィルタリング

Nginx は、http リクエストヘッダー検出を使用して、悪意のある HTTP リクエストを防止できます。具体的な実装方法は、次のような構成を Nginx 構成ファイルに追加することです:

if ($http_user_agent ~* "some evil expression") { return 403; }

ログイン後にコピー

または、次のように、入力フィルタリングに Nginx の組み込みファイアウォールモジュールを使用します:

# block ip sends more than 100 requests per 5 seconds limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s; server { location / { limit_conn one 10; limit_req zone=two burst=5 nodelay; } }

ログイン後にコピー

この例

まず、ステータス情報を保存できるメモリ領域である 2 つのゾーンを定義します。 (これは、アクセスが多い場合、この保護のコストが比較的高くなる可能性があることも意味します)

3. SQL インジェクションを回避する

実際の開発では SQL インジェクションを回避する必要があります。 SQL インジェクション攻撃を防ぐために、次のように設定できます:

location ~* (.php|.asp|.ashx)/?$ { if ($args ~* "select.*from") { return 403; } }

ログイン後にコピー

この例では、Nginx の組み込み if モジュールを使用して、攻撃者が select ステートメントを使用してデータベースからデータを取得するのを防ぎます。 403 アクセスが禁止されています。

4. XSS 攻撃の防止

XSS 攻撃に対しては、入力検出を強化できます。 XSS 攻撃の可能性が検出された場合、接続は安全な URL にリダイレクトされるか、エラーメッセージが返されます。

if ($args ~* "") { return 403; }

ログイン後にコピー

この例では、Nginx の組み込み if モジュールを使用して、URL にネストされたスクリプトタグを持つコンテンツがあるかどうかを検出します。

5. CSRF 攻撃を防ぐ

Nginx を使用する場合、CSRF 攻撃を防ぐために、外部サイトからのリクエストを禁止する必要があります。たとえば、次の構成を追加できます:

location / { if ($http_referer !~ "^https?://$host/") { return 403; } }

ログイン後にコピー

この例では、Nginx の組み込み if モジュールを使用して、$host サイトからのリクエストのみを受信するように制限します。他のサイトからのリクエストがある場合、Nginx は403.

6. ファイルダウンロードの脆弱性を防ぐ

プライベートドキュメント、スクリプト、設定ファイルなどの不適切なファイルへのアクセスを防ぐために、次の戦略を使用してください:

location ~* .(xls|doc|pdf)$ { valid_referers none blocked server_names; if ($invalid_referer) { return 401; } }

ログイン後にコピー

この例 Nginx の組み込み valid_referers モジュールを使用すると、リクエストが無許可のサイトからのものであることが判明すると、401 が返されます。

7. 一部の URL へのアクセスを禁止する

実際のプロジェクトでは、admin.php、login.php などの一部の URL が攻撃者に使用される可能性があります。彼らのアクセスを禁止するだけで済みます。

location ~ /(admin|login).php { deny all; }

ログイン後にコピー

この例の設定では、admin.php および login.php で終わる URL へのアクセスが禁止されています。

8. 完全な例

最後に、上記の構成に基づいて、次の完全な例を取得できます:

server { listen 80; server_name yourdomain.com; # 设置过滤规则 location / { # 禁止非法请求 limit_conn_zone $binary_remote_addr zone=one:10m; limit_req_zone $binary_remote_addr zone=two:10m rate=1r/s; limit_conn one 10; limit_req zone=two burst=5 nodelay; # 防止XSS攻击 if ($args ~* "") { return 403; } # 防止SQL注入 if ($args ~* "select.*from") { return 403; } # 禁止admin和login的访问 location ~ /(admin|login).php { deny all; } } # 防止文件下载漏洞 location ~* .(xls|doc|pdf)$ { valid_referers none blocked server_names; if ($invalid_referer) { return 401; } } }

ログイン後にコピー

上記は、Nginx URL セキュリティポリシーを作成するためのガイドです。。これが Nginx 構成に何らかの助けとなり、システムのセキュリティを向上させることができれば幸いです。

以上がNginx URL セキュリティポリシー作成ガイドの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。