Laravel 5.5 공식 추천 Nginx 설정 학습

Laravel 5.5 버 전 은 Nginx 서버 설정 을 공식 적 으로 보 여 주 었 습 니 다. 중국어 문서: 서버 설정 Nginx

// An highlighted block
server {
    listen 80;
    server_name example.com;
    root /example.com/public;

    add_header X-Frame-Options "SAMEORIGIN";   
    add_header X-XSS-Protection "1; mode=block"; 
    add_header X-Content-Type-Options "nosniff"; 

    index index.html index.htm index.php;

    charset utf-8;

    location / {
        try_files $uri $uri/ /index.php?$query_string;
    }

    location = /favicon.ico { access_log off; log_not_found off; }  
    location = /robots.txt  { access_log off; log_not_found off; }  

    error_page 404 /index.php;

    location ~ \.php$ {
        fastcgi_split_path_info ^(.+\.php)(/.+)$;
        fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
        fastcgi_index index.php;
        include fastcgi_params;
    }

    location ~ /\.(?!well-known).* {
        deny all;
    }
}

자신 은 Nginx 를 잘 하지 못 합 니 다. 많은 친구 들 이 저 와 같다 고 믿 습 니 다. Nginx 에 관 한 지식 을 같이 공부 합 시다.)
1、add_header X-Frame-Options “SAMEORIGIN”;
X - Frame - options 응답 헤드 는 한 페이지 가 있 거나 보 여줄 수 있 는 지 를 브 라 우 저 에 표시 하 는 데 사 용 됩 니 다.사 이 트 는 이 기능 을 사용 하여 자신의 사이트 의 내용 이 다른 사람의 사이트 에 삽입 되 지 않도록 확보 하고 클릭 납치 (clickjacking) 의 공격 을 피 할 수 있다.
X - Frame - options 는 세 가지 값 이 있 습 니 다.

DENY 는 이 페이지 를 frame 에서 보 여 주 는 것 을 허용 하지 않 으 며, 같은 도 메 인 이름 의 페이지 에 끼 워 넣 어도 허용 하지 않 는 다 고 밝 혔 다

SAMEORIGIN 은 이 페이지 가 같은 도 메 인 이름 페이지 의 frame 에서 보 여줄 수 있다 고 밝 혔 다.

ALLOW - FROM uri 는 이 페이지 를 지정 한 소스 의 frame 에서 보 여줄 수 있다 고 밝 혔 다.

이 응답 헤드 설정 은 흔히 볼 수 있 을 것 입 니 다. 이전에 외국 고객 의 안전 팀 은 도 구 를 사용 하여 우리 프로젝트 의 관련 구멍 을 스 캔 했 습 니 다. 그 중에서 이 clickjacking 문제 가 있 고 최종 적 으로 이 설정 을 통 해 이 문 제 를 해결 할 수 있 습 니 다.
2、add_header X-XSS-Protection “1; mode=block”;
XSS 는 크로스 스 크 립 트 공격 으로 흔히 볼 수 있 는 네트워크 공격 수단 입 니 다. 필드 를 바 꾸 면 브 라 우 저가 현재 페이지 에 브 라 우 저 에 설 치 된 XSS 필터 메커니즘 을 열 수 있 는 지 여 부 를 표시 합 니 다.1 필 터 를 허용 함 을 표시 합 니 다. mode = block 지시 브 라 우 저 는 XSS 공격 이 감지 되면 전체 페이지 를 불 러 오 는 것 을 금지 합 니 다.
선지 자 XSS 챌 린 지 지식 개요
3、add_header X-Content-Type-Options “nosniff”;
이 응답 헤드 설정 은 브 라 우 저가 Content - Type 형식 을 추측 하 는 행 위 를 사용 하지 않 습 니 다.서버 가 Content - type 형식 을 잘 설정 하지 않 은 경우 가 많 기 때문에 브 라 우 저 는 문서 의 데이터 특징 에 따라 유형 을 결정 합 니 다. 예 를 들 어 공격 자 는 그림 으로 해석 되 었 던 요청 을 자바 script 으로 해석 할 수 있 습 니 다.

                  ，       ，    ，             add_header X-Frame-Options "SAMEORIGIN";   

4. favicon. ico 와 robots. txt 로 그 를 기록 하지 않 습 니 다.

location = /favicon.ico { access_log off; log_not_found off; }
location = /robots.txt  { access_log off; log_not_found off; }

favicon. ico 사이트 프로필 사진 은 기본적으로 브 라 우 저 탭 에 있 는 사이트 아이콘 과 소장 할 때 표시 되 는 작은 아이콘 입 니 다.
html header 에 favicon. ico 를 지정 하지 않 으 면 브 라 우 저 는 기본적으로 접근 합 니 다.http://xxx.com/favicon.ico , 이 파일 이 존재 하지 않 으 면 404, access 에 기 록 됩 니 다.log 와 error로그 중.로그 파일 에 기록 할 필요 가 없 기 때문에 취소 할 수 있 습 니 다.
robots. txt 는 보통 검색엔진 거미 (파충류) 가 기어 다 니 는 파일 입 니 다. 업계 규범 에 따 르 면 거 미 는 한 사 이 트 를 기어 다 닐 때 먼저 이 파일 을 기어 다 니 며 사이트 의 어떤 디 렉 터 리 파일 을 기어 다 니 지 않 아 도 되 는 지 알 수 있 습 니 다. SEO 에서 robots. txt 의 정확 한 설정 은 SEO 에 자주 효과 가 있 지 않 습 니 다.이 파일 도 로그 에 기록 할 필요 가 없 으 며, 대부분의 사이트 에는 robots. txt 파일 이 존재 하지 않 습 니 다.
이 설정 들 은 대부분의 웹 사이트 에 사용 할 수 있 습 니 다. Nginx 서버 뿐만 아니 라 Apache 서버 에 도 관련 설정 이 있 을 것 이 라 고 믿 습 니 다. 다른 웹 서버 를 사용 하고 있다 면 이와 유사 한 설정 도 사용 하 는 것 을 권장 합 니 다.