这样配置可以禁止IP直接HTTP/HTTPS访问，也使未绑定的域名无法访问。 #http server { listen 80 default_server; server_name _; return 500; } #https server { listen 443 ssl default_server; server_name _; ssl_certificate /yourpath/ssl.crt; ssl_certificate_key /yourpath/ssl.key; return 500; } 需要配置秘钥 否则会到时全部ssl配置失效 不知道为啥 yum install -y openssl openssl …

Read More

禁用 SSLv3 协议 Google 的一个员工发现了 SSLv3 协议中一个名叫 Poodle 的漏洞，被证实为可以窃取加密的部分信息。这是一个协议层的漏洞，因此无法打补丁。 # nginx.conf http { ... ssl_prefer_server_ciphers on; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers …

Read More

简介 跨域脚本攻击 XSS 是最常见、危害最大的网页安全漏洞。 为了防止它们，要采取很多编程措施，非常麻烦。很多人提出，能不能根本上解决问题，浏览器自动禁止外部注入恶意脚本？ 这就是”网页安全政策”（Content Security Policy，缩写 CSP）的来历。本文详细介绍如何使用 CSP 防止 XSS 攻击。 CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。 CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。 开启方式 #通过 HTTP 头 …

Read More

nginx.conf配置开启proxy缓存 ## # Nginx Cache Settings ## proxy_temp_file_write_size 128k; proxy_temp_path /var/cache/nginx/temp; proxy_cache_path /var/cache/nginx/cache levels=1:2 keys_zone=cache_one:50m inactive=7d max_size=5g; Google Fonts反向代理配置vhost #fonts.funboxpower.com.conf upstream google { server …

Read More

apache php mod的方式可以很方便的配置open_basedir限制各个站点的目录访问权限。 而nginx + php-fpm fastcgi的方式，就需要多费费心啦~ 首先php的版本必须大于等于php5.3.3。 方法1 在nginx 配置 fastcgi_param参数 在nginx的 php配置中 或者 在 包含的 include fastcgi.conf 文件中加入： fastcgi_param PHP_VALUE "open_basedir=$document_root:/tmp/:/proc/"; 意思是设置fastcgi 参数 PHP_VALUE 的open_basedir。 …

Read More

最近研究公司项目，发现是用ngx-lua来统计api的日均请求量、峰值、响应时间、状态码等等。 用ngx-lua来做性能统计、甚至一些运营数据统计，都是非常好的选择。 1.几乎对原有项目代码分离 2.性能佳 3.支持分不同虚拟主机统计, 同一个虚拟主机下可以分不同的location统计 4.可以统计与query-times、request-time、status-code、speed相关的数据 因为基于ngx-lua所以需要先安装环境，请移步Nginx安装lua-nginx-module模块 github这个项目https://github.com/initial5/ngx-lua-stats前辈们已给代码 使用方法就是 …

Read More

如果是还没有安装nginx的小伙伴可以直接下载openresty安装简单快捷，http://openresty.org/cn/installation.html 安装了nginx的小伙伴就继续往下看咯~ 1.下载安装LuaJIT 2.1（2.0或者2.1都是支持的，官方推荐2.1） http://luajit.org/download.html wget http://luajit.org/download/LuaJIT-2.1.0-beta2.tar.gz tar zxf LuaJIT-2.1.0-beta2.tar.gz cd LuaJIT-2.1.0-beta2 make PREFIX=/usr/local/luajit …

Read More