如何在 Nginx 中配置升级不安全请求

在安全至关重要的数字时代，本指南将演示如何在升级不安全请求中配置升级不安全请求。 Web 开发中的这一关键安全功能可指示浏览器自动将 HTTP 请求升级到 HTTPS。这有助于确保客户端和服务器之间的所有通信都经过加密，从而提高网站的整体安全性。在 NGINX 中配置此功能有助于为您的用户维护安全的浏览体验，并有助于提高 SEO 排名。

本指南将引导您完成在 NGINX 中配置升级不安全请求的步骤，确保所有 HTTP 流量都重定向到 HTTPS，从而增强您的 Web 服务器的安全性。

在 Nginx 全局中添加升级不安全请求

访问Nginx配置文件

通过访问 Nginx 配置文件来启动该过程，通常位于 /etc/nginx/nginx.conf.使用以下命令打开文件：

sudo nano /etc/nginx/nginx.conf

需要注意的是，您需要具有管理权限才能编辑此文件。此步骤可确保您所做的任何修改都是安全且经过授权的。

插入升级不安全请求标头

在 nginx.conf 文件中，找到 http 块。在这里，您必须添加一行特定的代码，命令浏览器将所有 HTTP 请求升级到 HTTPS。此增强功能对于保护您网站的数据传输至关重要。插入以下行：

add_header Content-Security-Policy "upgrade-insecure-requests";

配置示例：

http {
    ...
    add_header Content-Security-Policy "upgrade-insecure-requests";
    ...
}

测试升级不安全请求处于活动状态

该指令在网站安全中发挥着至关重要的作用，它确保所有请求都自动升级到安全的 HTTPS 连接，从而保护用户数据并提高可信度。

验证升级不安全请求的激活

实施更改后，重新启动 Nginx 以应用它们。使用此命令：

sudo systemctl restart nginx

要确认标头是否已激活，请使用以下工具执行测试： curl。此工具可帮助您检查网站的响应标头。执行以下命令：

curl -I http://yourwebsite.com

寻找 Content-Security-Policy: upgrade-insecure-requests 响应中的行。它的存在确认对不安全请求的升级已成功激活。

预期终端输出：

HTTP/1.1 200 OK
Server: nginx/1.18.0 (Ubuntu)
Date: Wed, 20 Dec 2023 12:00:00 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Content-Security-Policy: upgrade-insecure-requests
...

在 Nginx 服务器块中添加升级不安全请求

步骤 1：访问 Nginx 服务器块配置

首先访问您域的特定服务器块。这通常位于 /etc/nginx/sites-available/yourdomain。要编辑此文件，请使用以下命令确保您具有必要的管理权限：

sudo nano /etc/nginx/sites-available/yourdomain

此步骤对于对您的 Nginx 设置进行直接、特定于域的配置更改至关重要。

在 Nginx 请求标头中配置升级不安全

在 Nginx 服务器块配置中，重点通过添加来增强安全性 upgrade-insecure-requests 指令。这应该放在 location / 块。此指令指示浏览器将所有 HTTP 请求切换到更安全的 HTTPS，从而增强您网站的数据安全性。

添加以下配置：

server {
    ...
    location / {
        add_header Content-Security-Policy "upgrade-insecure-requests";
    }
    ...
}

此设置对于保护单个服务器块至关重要，尤其是当您在同一个 Nginx 服务器上托管多个域或子域时。

验证升级不安全请求的功能

保存更改后，重新启动 Nginx 以确保新设置生效：

sudo systemctl restart nginx

要确认标题是否有效，请使用类似 curl 检查 HTTP 响应标头：

curl -I http://yourdomain.com

与上一节一样，在响应中查找 Content-Security-Policy: upgrade-insecure-requests。这可确认标头已正确实现并针对您的特定服务器块处于活动状态。

Nginx 升级安全请求：高级示例

根据请求方法有条件升级

此设置非常适合需要根据 HTTP 请求方法区分行为的情况。它会选择性地应用 upgrade-insecure-requests 标头，避免将其用于可能导致数据提交问题的敏感 POST 请求。

map $request_method $upgrade_insecure {
    POST   0;
    default 1;
}

server {
    ...
    location / {
        if ($upgrade_insecure) {
            add_header Content-Security-Policy "upgrade-insecure-requests";
        }
        ...
    }
}

用户代理特定升级

根据用户的浏览器定制升级过程对于兼容性至关重要。此配置仅为特定用户代理（如 Chrome 或 Firefox）激活升级，从而提供更有针对性的方法。

map $http_user_agent $upgrade_condition {
    ~*chrome 1;
    ~*firefox 1;
    default 0;
}

server {
    ...
    location / {
        if ($upgrade_condition) {
            add_header Content-Security-Policy "upgrade-insecure-requests";
        }
        ...
    }
}

特定路径升级应用程序

对网站的特定区域应用安全升级可能至关重要，尤其是在只有某些部分处理敏感信息的环境中。此设置可针对指定路径进行升级，例如 /secure-area/.

server {
    ...
    location /secure-area/ {
        add_header Content-Security-Policy "upgrade-insecure-requests";
        ...
    }
    location / {
        ...
    }
}

集成升级与附加安全标头

将 upgrade-insecure-requests 指令与其他安全标头相结合可增强服务器的整体安全性。这种综合方法非常适合需要强大安全措施的环境。

server {
    ...
    location / {
        add_header Content-Security-Policy "upgrade-insecure-requests; default-src https:";
        add_header X-Content-Type-Options nosniff;
        add_header X-Frame-Options SAMEORIGIN;
        ...
    }
}

使用自定义日志实现升级

此配置有助于在监控和日志记录至关重要的环境中跟踪升级过程。它记录从 HTTP 升级到 HTTPS 的请求，有助于安全审计和分析。

map $scheme $log_upgrade {
    http 1;
    default 0;
}

server {
    ...
    location / {
        if ($log_upgrade) {
            access_log /var/log/nginx/upgrade.log;
            add_header Content-Security-Policy "upgrade-insecure-requests";
        }
        ...
    }
}

这些高级配置对如何以及何时从 HTTP 升级到 HTTPS 提供了细致的控制，满足特定需求并增强了 Nginx 服务器的安全性和功能。

结论

通过在 NGINX 中配置升级不安全请求，您可以确保所有 HTTP 流量自动升级到 HTTPS，从而增强网站的安全性。此配置不仅可以保护用户数据，还有助于改善网站的 SEO。定期检查和更新您的 NGINX 设置以保持最佳安全性和性能。了解您的网络流量是安全且加密的，让您高枕无忧。