在K8S的ingress-nginx使用 Nginx 配置 Content Security Policy (CSP) 修复网站安全漏洞

最新推荐文章于 2025-10-20 10:36:11 发布

原创

最新推荐文章于 2025-10-20 10:36:11 发布 · 2.4k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #nginx #java #web安全

在K8S的ingress-nginx使用 Nginx 配置 Content Security Policy (CSP) 修复网站安全漏洞

Content Security Policy (CSP) 是一项重要的安全措施，可以帮助您的网站免受恶意脚本注入等攻击。在本文中，我将为您介绍如何使用 Nginx 配置 CSP 并保护您的网站。我会详细解释每个步骤，确保您能够顺利实施这项安全措施。

1. 生成唯一的 Nonce 值

在 CSP 中，‘nonce’ 值是一个重要的组成部分，用于标识允许执行的内联脚本。Nginx 提供了内置变量 $request_id，可以用作唯一的 Nonce 值。如果您的 Nginx 版本不支持 $request_id，您还可以使用 Lua 脚本生成一个 UUID。

2. 替换页面中的 Nonce 占位符

在您的页面中，使用 ‘NONCE_TOKEN’ 占位符来表示要替换的 Nonce 值。Nginx 提供了 sub_filter 指令，可以将 ‘NONCE_TOKEN’ 替换为实际的 Nonce 值。您也可以使用 Lua 脚本进行替换，这取决于您的实际情况。

3. 配置 Nginx 添加 CSP 头

使用 add_header 指令在 Nginx 中添加 CSP 头。在 ‘script-src’ 指令中，将 ‘nonce-{id}’ 添加到允许加载的脚本源中。确保将 {id} 替换为您生成的实际 Nonce 值。

以下是一个示例配置，使用 k8s的ingress-nginx 内置变量 $request_id 作为 Nonce 值，在ingress的标签中添加：

nginx.ingress.kubernetes.io/configuration-snippet: >

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

FizzX1

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【Nginx SRE大师系列第10篇】第1章：Nginx 概述-增强版

老韩的Linux云计算架构师进阶之路

10-09

本章从计算机科学基础理论出发，深入剖析了Nginx的架构哲学和实现原理。我们不仅关注传统的Web服务器功能，更扩展到云原生、安全、可观测性等现代基础设施的各个方面。关键技术创新点回顾：数学模型的优越性：事件驱动模型在时间复杂度上的O(1)优势内存管理的精细化：从连接池预分配到零拷贝技术的完整优化链生态系统的完备性：从核心模块到第三方扩展的完整解决方案企业级可靠性：金融级的高可用和合规性支持面向未来的架构：QUIC、eBPF、机器学习等前沿技术集成。

nginx配置CSP策略和Nonce随机数方案

chy2z的专栏

04-06

3118

CSP（Content-Security-Policy） Content-Security-Policy 的 HTTP Header 可以指示浏览器只信任指定白名单的JS源。即使通过XSS攻击注入了恶意的脚本文件，浏览器也不会执行。 CSP配置例子 location ~ ^/test/(.*)$ { add_header Content-Security-Policy "default-src 'self' ; font-src 'self' data: ;script-src 'sel...

参与评论您还未登录，请先登录后发表或查看评论

在 Nginx上配置 HSTS、CSP 等安全策略

qianghong000的博客

06-15

1348

web 安全

Vue2项目使用Element-UI，在Nginx开启CSP策略后移除unsafe-inline导致报错无法运行的终极解决方案

10-20

1110

Vue2项目使用Element-UI在Nginx启用CSP后报错的解决方案摘要当在Vue2+Element-UI项目中启用Nginx的Content-Security-Policy(CSP)并移除unsafe-inline时，会导致页面空白并报错。这是由于Vue2和Element-UI会动态注入内联脚本和样式，而CSP策略会阻止这些行为。本文提供了五种解决方案：保留安全内联哈希（推荐）使用nonce机制彻底移除内联依赖临时添加'unsafe-hashes'或'unsafe-eval' 迁移至Vu

在 ‌Nginx + Laravel‌ 环境中配置 ‌CSP (Content Security Policy)‌ 安全头

深山技术宅的博客

05-25

1269

在 Nginx + Laravel 环境中配置 CSP (Content Security Policy) 安全头可以有效防止 XSS 和数据注入攻击。本文提供了完整的配置指南，涵盖动态生成 Nonce、报告模式以及常见框架兼容性处理。

nginx如何添加CSP策略

晨港飞燕的专栏

09-15

1587

Nginx配置CSP安全策略指南摘要：本文介绍了在Nginx中配置Content-Security-Policy(CSP)的方法，通过add_header指令实现。CSP可限制资源加载来源，防范XSS攻击。主要内容包括：1)确定CSP策略，定义default-src等指令；2)修改Nginx配置文件，添加相关头部；3)测试验证方法。文章提供了基础与复杂两种配置示例，涵盖脚本、样式、图片等资源的来源控制，并说明如何添加内联脚本支持、CSP报告收集等高级功能。同时强调了测试注意事项，建议使用Report-On

在Nginx中如何启用CSP（内容安全策略）？

长风破浪会有时的博客

04-02

2553

CSP就像是我们给网站加上的一个“保安”，它可以告诉浏览器：“只允许加载我指定的内容，其他的内容都不要加载哦！”这样，如果有人尝试在网站上加载恶意的内容，比如病毒或者广告，浏览器就会拒绝加载，从而保护我们的网站和用户的安全。通过这个配置，我们可以确保网站只加载我们指定的安全内容，从而提高网站的安全性。如果有人尝试加载不符合策略的内容，浏览器就会拒绝加载，并显示一个错误信息。头部的值中，我们设置了不同的策略来限制网站可以加载的内容。等元素的内容，因为这些元素可能会被用来加载恶意的内容。这个配置做了什么呢？

Nginx配置Http响应头安全策略_nginx content-security-policy(2)

m0_58269520的博客

04-08

3301

http {http {注意：在生产环境中，建议启用 upgrade-insecure-requests 指令，以防止潜在的安全风险。

浅谈 Nginx 头部配置：add_header 及其常见功能实践

web15085181368的博客

12-06

1510

add_header 是 Nginx 配置文件中的一个指令，用于在 HTTP 响应头中添加新的头部信息。该指令可以在不同的上下文中使用，包括 http、server、location 和 if 块中。通过 add_header，你可以控制客户端浏览器的行为，增强安全性，提供额外的信息等。

HTTP 到 HTTPS 自动跳转：Nginx 301 重定向配置完全指南

记录学习的过程

05-26

1527

Nginx实现HTTP到HTTPS 301重定向的最佳实践本文全面介绍了Nginx中HTTP自动跳转HTTPS的技术方案与优化策略。主要内容包括：基础配置方法：通过独立server块实现301永久重定向高级技巧：保留原始URI、多域名统一处理、HSTS安全增强性能优化：重定向缓存控制、响应头调优 SEO考量：规范URL处理、权重传递机制安全配置：SSL/TLS强化、防护头设置通过合理的Nginx配置，可确保网站安全重定向的同时，兼顾性能优化与搜索引擎友好性，实现全站HTTPS的无缝过渡。文章提供

ubuntu20.04下使用juju+maas环境部署k8s-11-在charmed k8s上部署portainer

m0_49212388的博客

09-08

2459

参考文档： Deploy Portainer on Charmed Kubernetes Using Portainer to manage Canonical Charmed Kubernetes 原文： 1 概述如果您对 Kubernetes 的复杂性感到害怕，但仍需要使用容器对您的业务应用程序进行现代化改造，请放心，您不是唯一一个。容器编排平台解决了许多问题，但也带来了新问题，因此请继续阅读以了解一种可以帮助您获得收益的新方法。什么是Charmed Kubernetes？ Charmed Kube

ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器，将“ Content-Security-Policy”标头添加到ServletResponse

05-02

内容安全策略过滤器（Java）将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。另请参阅：通常，您只需要有限的数目，也不需要任何init参数。如果未定义init参数，则Header将如下所示： Content-Security-Policy = default-src 'none' 这是ContentSecurityPolicyFilter的示例完整配置。 <filter> <filter>ContentSecurityPolicyFilter</filter> <filter>de.saville.csp.ContentSecurityPolicyFilter</filter>

Nginx配置Http响应头安全策略

热门推荐

RisunJan的博客

10-22

1万+

1. 防止跨站脚本攻击（XSS）：通过设置`CSP(Content-Security-Policy)`，可以限制浏览器只加载和执行来自特定来源的脚本，从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击：通过设置`X-Frame-Options`响应头，可以防止网页被嵌入到其他网站的`iframe`中，避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性：通过设置`STS(Strict-Transport-Security)`响应头，强制浏览器使用`HTTPS协议`与服务器通信，从而防止信息在传输过

Nginx配置Http响应头安全策略_nginx content-security-policy(1)

m0_58269520的博客

04-08

2943

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！

Nginx Content-Security-Policy csp问题

zm170305的博客

05-26

3217

最近新弄一个qa环境，前后端分离项目，用nginx 做跳转，把前后端的包都丢上去了，后端去请求数据没有问题，可以返回数据，但是前端访问的时候，一直抛错。网上找了很久这个问题，一直以为是前端打的包有问题，后来问了一个有经验的同事，他说是csp 问题，需要配置文件，网上搜索就很快找到了类似问题的处理方式。只需要在nginx 配置中添加。

Nginx配置Http响应头安全策略_nginx content-security-policy

m0_58269520的博客

04-08

3400

http {注意：在生产环境中，建议启用 upgrade-insecure-requests 指令，以防止潜在的安全风险。

Content Security Policy设置

阳光

06-06

5824

Content Security Policy (CSP) 是一种加固 Web 应用的安全性的技术，通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。其中 script-src 只允许本网站和 example.com 的脚本加载，img-src 只允许本网站和 data: URI 的图片加载，style-src 只允许本网站和内联样式加载，font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。

Nginx 解决内容安全策略CSP（Content-Security-Policy）配置方式

ideal-lingyun

09-24

5448

Nginx 解决内容安全策略CSP（Content-Security-Policy）配置方式

Content-Security-Policy设置

xiehuixu9235的博客

11-12

6209

最近处理web安全遇上问题特记录此博客地址. https://www.cnblogs.com/heyuqing/p/6215761.html感谢收集的信息对我产生帮助