nginx 配置 避免xss攻击 劫持攻击 js脚本攻击

add_header X-Frame-Options "SAMEORIGIN";

add_header X-XSS-Protection "1; mode=block";

add_header X-Content-Type-Options "nosniff";

iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法

修改web服务器配置，添加X-frame-options响应头。赋值有如下三种：

（1）DENY：不能被嵌入到任何iframe或frame中。
（2）SAMEORIGIN：页面只能被本站页面嵌入到iframe或者frame中。
（3）ALLOW-FROM uri：只能被嵌入到指定域名的框架中。

也可在代码中加入，在PHP中加入：

header('X-Frame-Options: deny');

 X-XSS-Protection 的字段有三个可选配置值

0： 表示关闭浏览器的XSS防护机制

1：删除检测到的恶意代码， 如果响应报文中没有看到X-XSS-Protection 字段，那么浏览器就认为X-XSS-Protection配置为1，这是浏览器的默认设置

1; mode=block：如果检测到恶意代码，在不渲染恶意代码

如果在你的业务场景中，你认为你的程序或系统是不会有XSS漏洞的， 或者是无法承担XSS filter/auditor 特性引发的BUG，那你就选择配置成前者；否则，你还是选择配置成后者吧。 反正，老司机给你一句忠告就是，千万别配置成XSS-Protection: 1

location = /favicon.ico { access_log off; log_not_found off; }

location = /robots.txt { access_log off; log_not_found off; }

//log_not_found on|off，默认为on：启用或禁用404错误日志，这个指令可以用来禁止nginx记录找不到rebots.txt或favicon.ico这类文件的错误信息。