在 ‌Nginx + Laravel‌ 环境中配置 ‌CSP (Content Security Policy)‌ 安全头

最新推荐文章于 2025-09-25 20:15:00 发布
原创 最新推荐文章于 2025-09-25 20:15:00 发布 · 1.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #laravel #安全

以下是在 Nginx + Laravel 环境中配置 CSP (Content Security Policy) 安全头的完整指南,涵盖动态生成 Nonce、报告模式、以及常见框架兼容性处理:

1. CSP 核心概念

CSP 通过白名单控制允许加载的资源(JS/CSS/图片等),防止 XSS 和数据注入攻击。
关键指令

  • default-src:默认资源类型限制
  • script-src:控制 JavaScript 来源
  • style-src:控制 CSS 来源
  • report-uri:违规报告地址(可选)

2. 基础 Nginx 配置

在 Nginx 的 SSL 配置块(/etc/nginx/sites-available/laravel.conf)中添加:

server {
    listen 443 ssl;
    # ... 其他 SSL 配置 ...

    # 基础 CSP 策略(示例)
    add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://cdn.jsdelivr.net; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-ancestors 'none'; form-action 'self'; base-uri 'self';";

    # 可选:启用 CSP 报告模式(不强制拦截,仅记录)
    # add_header Content-Security-Policy-Report-Only "default-src 'self'; report-uri /csp-violation-report-endpoint";
}

3. Laravel 动态生成 Nonce(关键安全实践)

3.1 创建中间件
php artisan make:middleware ApplyCspHeaders

编辑 app/Http/Middleware/ApplyCspHeaders.php

<?php

namespace App\Http\Middleware;

use Closure;
use Illuminate\Support\Str;

class ApplyCspHeaders
{
   
   
    public function handle($request, Closure $next)
    {
   
   
        $response = $next(
最低0.47元/天 解锁文章
Nginx 安全加固指南:提升网站防护的 7 大必备 HTTP 配置
Bertram的博客
07-31 273
本文介绍了增强Nginx安全性的关键HTTP响应配置方法,包括HSTS强制HTTPS、X-Frame-Options防点击劫持、X-XSS-Protection防跨站脚本、X-Content-Type-Options防MIME嗅探、CSP内容安全策略、Cache-Control缓存控制以及CORS跨域资源共享。通过合理配置这些安全部,能有效防止中间人攻击、点击劫持、XSS攻击等常见网络威胁,提高网站安全性。文章提供了完整的Nginx配置示例,帮助管理员快速实现这些安全措施。
Laravel框架中Nginx配置站点的详细讲解
KsjPython的博客
09-26 1469
通过正确配置Nginx服务器块,我们可以为Laravel应用程序提供正确的访问环境。在本文中,我们详细介绍了如何创建和配置Nginx服务器块,并提供了示例配置文件。确保按照自己的实际情况修改相应的路径和域名,以确保配置的准确性。在使用Laravel框架开发Web应用程序时,正确配置Nginx服务器以支持站点是非常重要的。在配置站点之前,我们需要创建一个Nginx服务器块来定义我们的站点配置。现在,您的Nginx服务器已经配置完毕,可以正确地为Laravel应用程序提供服务了。替换为您的实际域名,并将。
Nginx配置 HSTS、CSP安全策略
qianghong000的博客
06-15 1347
web 安全
HTTP安全响应--CSPContent-Security-Policy
最新发布
weixin_42451330的博客
09-25 2217
CSP(内容安全策略)是一种浏览器安全机制,通过白名单机制限制资源加载来源,防止XSS攻击、数据泄露等安全威胁。可通过HTTP或HTML meta标签设置,常用指令包括script-src、style-src等控制各类资源加载。配置时需注意避免使用高风险指令如unsafe-inline,并建议先使用report-only模式测试。文中提供了Nginx、Tomcat和SpringBoot的配置示例,强调在生产前需验证配置以避免误杀合法资源。CSP能有效提升Web应用安全性,但需合理配置才能发挥最大作用。
在K8S的ingress-nginx使用 Nginx 配置 Content Security Policy (CSP) 修复网站安全漏洞
FizzX1的博客
08-28 2408
通过使用 Nginx 配置 Content Security Policy (CSP),您可以增强您的网站的安全性,防止恶意脚本注入攻击。确保生成唯一的 Nonce 值,替换页面中的占位符,并正确地配置 Nginx 部,以实现有效的 CSP 防护。
Nginx 解决内容安全策略CSPContent-Security-Policy配置方式
ideal-lingyun
09-24 5446
Nginx 解决内容安全策略CSPContent-Security-Policy配置方式
Nginx中如何启用CSP(内容安全策略)?
长风破浪会有时的博客
04-02 2552
CSP就像是我们给网站加上的一个“保安”,它可以告诉浏览器:“只允许加载我指定的内容,其他的内容都不要加载哦!”这样,如果有人尝试在网站上加载恶意的内容,比如病毒或者广告,浏览器就会拒绝加载,从而保护我们的网站和用户的安全。通过这个配置,我们可以确保网站只加载我们指定的安全内容,从而提高网站的安全性。如果有人尝试加载不符合策略的内容,浏览器就会拒绝加载,并显示一个错误信息。部的值中,我们设置了不同的策略来限制网站可以加载的内容。等元素的内容,因为这些元素可能会被用来加载恶意的内容。这个配置做了什么呢?
内容安全策略CSP--Content-Security-Policy
banliyaoguai的博客
05-02 1385
Content Security PolicyCSP)是一种Web安全机制,。它通过允许网站管理员定义和实施一系列安全策略,限制页面加载和执行的内容来源,以减少潜在的安全风险。它的实现和执行全部由浏览器完成,开发者只需提供配置CSP是一个额外的安全层,用于检测并削弱某些特定类型的攻击,使WEB处于一个安全的运行环境中。
Nginx 常用安全
m0_74823705的博客
02-14 1633
Web 应用中配置 HTTP 安全响应是提升网站安全性的重要一步。合理配置 Nginx安全,可以抵御常见的安全威胁(如 XSS、点击劫持、MIME 类型嗅探等),增强用户隐私保护和传输安全性。:限制资源(如脚本、样式、图片等)的加载来源,防止 XSS 和数据注入攻击。<object><embed>iframe注意事项:如果需要加载第三方资源(如 CDN),需显式添加来源。避免使用和,减少 XSS 风险。
Nginx配置Http响应安全策略_nginx content-security-policy(2)
m0_58269520的博客
04-08 3295
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
Nginx配置Http响应安全策略_nginx content-security-policy(1)
m0_58269520的博客
04-08 2943
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Laravel开发-laravel-csp
08-28
Laravel开发-laravel-cspCSP添加到Laravel应用程序的响应中
laravel-csp:在Laravel应用中设置内容安全策略标
02-02
Laravel应用中设置内容安全策略标 默认情况下,允许网页上的所有脚本将数据发送和获取数据到他们想要的任何站点。 这可能是一个安全问题。 想象一下,您JavaScript依赖项之一将所有按键(包括密码)发送到第三方网站。 有人很容易隐藏这种恶意行为,几乎使您无法检测到它(除非您手动读取站点上的所有JavaScript代码)。 要了解为什么您真的需要设置内容安全策略标,请阅读。 设置内容安全策略标有助于解决此问题。 这些标题决定了允许您的网站联系哪些网站。 该软件包使您可以轻松设置正确的标题。 本自述文件并不旨在全面解释CSP及其指令的所有可能用法。 我们强烈建议您在使用此软件包之前阅读。 如果您是视听学习者,则应查看有关如何使用此软件包的视频。 支持我们 我们投入了大量资源来创建。 您可以通过来支持我们。 非常感谢您从家乡寄给我们一张明信片,其中提到您使用的是哪个包装。 您可以在上找到我们的地址。 我们将所有收到的明信片发布在。 安装 您可以通过composer安装该软件包: composer require spatie/laravel-csp 您可以使
nginx解决内容安全策略CSPContent-Security-Policy配置方式
热门推荐
yb创作中心
09-09 4万+
nginx解决内容安全策略CSPContent-Security-Policy配置方式(项目实战亲测使用) 下面这段配置拷贝到配置文件即可,注意顺序不能乱 add_header Content-Security-Policy "default-src 'self' static4.segway.com(该地址按需修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-Xss-Protection "1;mode=
nginx add header csp
或非与博客
08-08 1494
引入谷歌 / hotjar统计,等外站的js/frame/css,会出现script-src、style-src、connect-src、frame-src、img-src等提示不安全,需要在nginx部增加Content-Security-Policy
Nginx配置Http响应安全策略_nginx content-security-policy
m0_58269520的博客
04-08 3399
http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
2025终极指南:Nginx安全配置实战(CSP与X-Content-Type-Options全解析)
gitblog_01199的博客
09-13 546
你是否知道,83%的Web安全漏洞都源于不正确的HTTP配置?当攻击者利用MIME类型混淆(MIME Sniffing)执行恶意脚本时,你的服务器是否能抵御这种攻击?本文将通过nginxconfig.io的实战配置,系统讲解Content-Security-Policy(内容安全策略)和X-Content-Type-Options两大核心安全部的工作原理、配置方法及最佳实践,让你的Nginx...
Nginx Content-Security-Policy csp问题
zm170305的博客
05-26 3213
最近新弄一个qa环境,前后端分离项目,用nginx 做跳转,把前后端的包都丢上去了,后端去请求数据没有问题,可以返回数据,但是前端访问的时候,一直抛错。网上找了很久这个问题,一直以为是前端打的包有问题,后来问了一个有经验的同事,他说是csp 问题,需要配置文件,网上搜索就很快找到了类似问题的处理方式。只需要在nginx 配置中添加。
nginx CSP 防护
12-12 2638
CSP 内容安全策略,主要可用于防范XSS注入 具体相关文档参考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy https://cloud.tencent.com/developer/section/1189862 项目中 nginx 配置,需要配置在server下: ###frame 同源策略 add_header X-Frame-Options SAMEORIGIN; ###CSP防护
响应缺少或者配置了不安全Content-Security-Policy漏洞处理
06-20
### 正确配置HTTP响应中的Content-Security-Policy以修复安全漏洞 为了确保网站的安全性,防止跨站脚本攻击(XSS)和其他潜在威胁,正确配置 `Content-Security-Policy`(CSP)响应至关重要。以下是一个详细的配置方法和注意事项: #### 配置示例 在 Nginx 中可以通过 `add_header` 指令为 HTTP 响应添加 CSP 信息。以下是几种常见的配置方式: 1. **基本配置**: ```nginx add_header Content-Security-Policy "default-src 'self';"; ``` 这是最简单的配置,表示所有资源只能从当前域名加载[^1]。 2. **增强安全配置**: ```nginx add_header Content-Security-Policy "default-src 'self' localhost:8080 'unsafe-inline' 'unsafe-eval' blob: data: ;"; ``` 该配置允许从当前域名、`localhost:8080` 加载资源,并支持内联脚本和评估脚本,同时允许使用 Blob 和 Data URL[^1]。 3. **全面配置**: ```nginx add_header Content-Security-Policy "default-src *; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; img-src * data:; worker-src * blob:; font-src 'self' data:;"; ``` 该配置更灵活,允许从任意源加载资源,但对样式、脚本、图片等进行了更细致的控制[^2]。 4. **升级不安全请求**: 如果需要将 HTTP 请求自动升级为 HTTPS 请求,可以使用以下配置: ```nginx add_header Content-Security-Policy "upgrade-insecure-requests; connect-src *;"; ``` 注意,这种配置可能会导致无法加载不支持 HTTPS 的资源[^2]。 #### 配置注意事项 - **默认源限制**:`default-src` 是最重要的指令之一,定义了所有资源的默认加载策略。如果未明确指定其他指令(如 `script-src`),它们将继承 `default-src` 的值。 - **内联脚本与评估脚本**:虽然 `'unsafe-inline'` 和 `'unsafe-eval'` 提高了灵活性,但也增加了 XSS 攻击的风险。建议仅在必要时使用[^3]。 - **测试环境与生产环境**:在测试环境中可以适当放宽限制,但在生产环境中必须严格控制资源加载来源[^2]。 - **浏览器兼容性**:不同的浏览器对 CSP 的支持可能略有差异,建议测试多种主流浏览器以确保兼容性。 #### 示例代码 以下是一个完整的 Nginx 配置示例: ```nginx server { listen 80; server_name example.com; location / { add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'; img-src 'self' data:;"; # 其他配置... } } ``` ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值