Laravel5.5中Nginx配置的示例分析-創(chuàng)新互聯(lián)

小編給大家分享一下Laravel 5.5中Nginx配置的示例分析，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于網(wǎng)站建設(shè)、網(wǎng)站制作、瀾滄網(wǎng)絡(luò)推廣、小程序開發(fā)、瀾滄網(wǎng)絡(luò)營銷、瀾滄企業(yè)策劃、瀾滄品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們大的嘉獎；成都創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供瀾滄建站搭建服務(wù)，24小時(shí)服務(wù)熱線：18982081108，官方網(wǎng)址：muchs.cn

Laravel 5.5 版本官方放出了 Nginx 服務(wù)器的配置，中文文檔：服務(wù)器配置 Nginx

server {
 listen 80;
 server_name example.com;
 root /example.com/public;

 add_header X-Frame-Options "SAMEORIGIN"; 
 add_header X-XSS-Protection "1; mode=block"; 
 add_header X-Content-Type-Options "nosniff"; 

 index index.html index.htm index.php;

 charset utf-8;

 location / {
 try_files $uri $uri/ /index.php?$query_string;
 }

 location = /favicon.ico { access_log off; log_not_found off; } 
 location = /robots.txt { access_log off; log_not_found off; } 

 error_page 404 /index.php;

 location ~ \.php$ {
 fastcgi_split_path_info ^(.+\.php)(/.+)$;
 fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
 fastcgi_index index.php;
 include fastcgi_params;
 }

 location ~ /\.(?!well-known).* {
 deny all;
 }
}

自己并不擅長 Nginx，相信很多朋友跟我一樣，讓我們一起學(xué)習(xí)下 Nginx 的相關(guān)知識 : )

1. add_header X-Frame-Options "SAMEORIGIN";

X-Frame-Options 響應(yīng)頭是用來給瀏覽器指示允許一個(gè)頁面可否在 <frame>, <iframe> 或者 <object> 中展現(xiàn)的標(biāo)記。網(wǎng)站可以使用此功能，來確保自己網(wǎng)站的內(nèi)容沒有被嵌到別人的網(wǎng)站中去，也從而避免了點(diǎn)擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個(gè)值:

DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。
SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。
ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。
該響應(yīng)頭設(shè)置應(yīng)該比較常見，之前國外客戶的安全團(tuán)隊(duì)有使用工具掃描我們項(xiàng)目的相關(guān)漏洞，其中就有這個(gè) clickjacking 的問題，最終也是通過該設(shè)置來解決此問題。

2. add_header X-XSS-Protection "1; mode=block";

XSS 是跨站腳本攻擊，是比較常見的網(wǎng)絡(luò)攻擊手段，改字段指示瀏覽器是否為當(dāng)前頁面開啟瀏覽器內(nèi)建的 XSS 過濾機(jī)制。 1 表示允許過濾器，mode=block 指示瀏覽器在檢測到 XSS 攻擊后禁止加載整個(gè)頁面。

參考文章： 先知XSS挑戰(zhàn)賽 知識點(diǎn)提要

3. add_header X-Content-Type-Options "nosniff";

該響應(yīng)頭設(shè)置禁用瀏覽器對 Content-Type 類型進(jìn)行猜測的行為。因?yàn)楹芏嗲闆r下服務(wù)器并沒有很好的配置 Content-Type 類型，因此瀏覽器會根據(jù)文檔的數(shù)據(jù)特征來確定類型，比如攻擊者可以讓原本解析為圖片的請求被解析為 JavaScript。

我們發(fā)現(xiàn)以上三個(gè)比較常見的防攻擊配置，還是非常實(shí)用的，建議使用，之前我們的服務(wù)器只使用了 add_header X-Frame-Options "SAMEORIGIN"; 配置。

4. 不記錄 favicon.ico 和 robots.txt 日志

 location = /favicon.ico { access_log off; log_not_found off; }
 location = /robots.txt { access_log off; log_not_found off; }

favicon.ico 網(wǎng)站頭像，默認(rèn)是瀏覽器標(biāo)簽頁上網(wǎng)站小圖標(biāo)以及收藏時(shí)顯示的小圖標(biāo)。

如果未在html header中指定 favicon.ico 那么瀏覽器默認(rèn)會去訪問 http://xxx.com/favicon.ico , 不存在此文件的話，那么會導(dǎo)致404，同時(shí)會記錄到 access_log 和 error_log 中。這種記錄到日志文件中是沒有必要性的，因此可以取消。

robots.txt 通常是搜索引擎蜘蛛（爬蟲）會去爬取的文件，在行業(yè)規(guī)范中，蜘蛛去爬取一個(gè)網(wǎng)站的時(shí)候會首先爬取該文件來獲知網(wǎng)站中哪些目錄文件不需要爬取，在 SEO 中 robots.txt 的正確配置是對 SEO 非常有效果的。該文件也確實(shí)沒有必要記錄到日志中，而且大部分網(wǎng)站并不存在 robots.txt 文件。

以上是“Laravel 5.5中Nginx配置的示例分析”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

網(wǎng)站標(biāo)題：Laravel5.5中Nginx配置的示例分析-創(chuàng)新互聯(lián)
文章分享：http://muchs.cn/article2/deiiic.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站排名、微信小程序、電子商務(wù)、標(biāo)簽優(yōu)化、網(wǎng)站設(shè)計(jì)公司、用戶體驗(yàn)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)