前言

本文主要給大家介紹了關于Laravel 5.5官方推薦的Nginx配置的想內容，分享出來供大家參考學習，下面話不多說，來一起看看詳細的介紹把。

Laravel 5.5 版本官方放出了 Nginx 服務器的配置，中文文檔：服務器配置 Nginx

server {
 listen 80;
 server_name example.com;
 root /example.com/public;

 add_header X-Frame-Options "SAMEORIGIN"; 
 add_header X-XSS-Protection "1; mode=block"; 
 add_header X-Content-Type-Options "nosniff"; 

 index index.html index.htm index.php;

 charset utf-8;

 location / {
 try_files $uri $uri/ /index.php?$query_string;
 }

 location = /favicon.ico { access_log off; log_not_found off; } 
 location = /robots.txt { access_log off; log_not_found off; } 

 error_page 404 /index.php;

 location ~ \.php$ {
 fastcgi_split_path_info ^(.+\.php)(/.+)$;
 fastcgi_pass unix:/var/run/php/php7.1-fpm.sock;
 fastcgi_index index.php;
 include fastcgi_params;
 }

 location ~ /\.(?!well-known).* {
 deny all;
 }
}

自己并不擅長 Nginx，相信很多朋友跟我一樣，讓我們一起學習下 Nginx 的相關知識 : )

1. add_header X-Frame-Options "SAMEORIGIN";

X-Frame-Options 響應頭是用來給瀏覽器指示允許一個頁面可否在 <frame>, <iframe> 或者 <object> 中展現的標記。網站可以使用此功能，來確保自己網站的內容沒有被嵌到別人的網站中去，也從而避免了點擊劫持 (clickjacking) 的攻擊。

X-Frame-Options 有三個值:

DENY

表示該頁面不允許在 frame 中展示，即便是在相同域名的頁面中嵌套也不允許。
SAMEORIGIN

表示該頁面可以在相同域名頁面的 frame 中展示。
ALLOW-FROM uri

表示該頁面可以在指定來源的 frame 中展示。
該響應頭設置應該比較常見，之前國外客戶的安全團隊有使用工具掃描我們項目的相關漏洞，其中就有這個 clickjacking 的問題，最終也是通過該設置來解決此問題。

2. add_header X-XSS-Protection "1; mode=block";

XSS 是跨站腳本攻擊，是比較常見的網絡攻擊手段，改字段指示瀏覽器是否為當前頁面開啟瀏覽器內建的 XSS 過濾機制。 1 表示允許過濾器，mode=block 指示瀏覽器在檢測到 XSS 攻擊后禁止加載整個頁面。

參考文章： 先知XSS挑戰賽 知識點提要

3. add_header X-Content-Type-Options "nosniff";

該響應頭設置禁用瀏覽器對 Content-Type 類型進行猜測的行為。因為很多情況下服務器并沒有很好的配置 Content-Type 類型，因此瀏覽器會根據文檔的數據特征來確定類型，比如攻擊者可以讓原本解析為圖片的請求被解析為 JavaScript。

我們發現以上三個比較常見的防攻擊配置，還是非常實用的，建議使用，之前我們的服務器只使用了 add_header X-Frame-Options "SAMEORIGIN"; 配置。

4. 不記錄 favicon.ico 和 robots.txt 日志

 location = /favicon.ico { access_log off; log_not_found off; }
 location = /robots.txt { access_log off; log_not_found off; }

favicon.ico 網站頭像，默認是瀏覽器標簽頁上網站小圖標以及收藏時顯示的小圖標。

如果未在html header中指定 favicon.ico 那么瀏覽器默認會去訪問 http://xxx.com/favicon.ico , 不存在此文件的話，那么會導致404，同時會記錄到 access_log 和 error_log 中。這種記錄到日志文件中是沒有必要性的，因此可以取消。

robots.txt 通常是搜索引擎蜘蛛（爬蟲）會去爬取的文件，在行業規范中，蜘蛛去爬取一個網站的時候會首先爬取該文件來獲知網站中哪些目錄文件不需要爬取，在 SEO 中 robots.txt 的正確配置是對 SEO 非常有效果的。該文件也確實沒有必要記錄到日志中，而且大部分網站并不存在 robots.txt 文件。

以上這些配置是可以用在大部分的網站上的，不止是 Nginx 服務器，相信 Apache 服務器也有相關的配置，如果你正在用其他web服務器，以上類似的配置也建議使用。

總結

以上就是這篇文章的全部內容，希望本文的內容對大家的學習或者工作具有一定的參考學習價值，如果有疑問大家可以留言交流，謝謝大家對的支持。