|
巨细的计较与变量有关,譬喻$binary_remote_addr变量的巨细对付记录IPV4地点是牢靠的4 bytes,而记录IPV6地点时牢靠的16 bytes,存储状态在32位平台中占用32可能64 bytes,在64位平台中占用64 bytes。1m的共享内存空间可以生涯约莫3.2万个32位的状态,1.6万个64位的状态
limit_conn: 指定一块已经设定的共享内存空间(譬喻name为ops的空间),以及每个给定键值的最大毗连数
上边的例子暗示统一IP统一时刻只应承10个毗连
当有多个limit_conn指令被设置时,全部的毗连数限定城市见效
- http {
- limit_conn_zone $binary_remote_addr zone=ops:10m;
- limit_conn_zone $server_name zone=coffee:10m;
-
- server {
- listen 80;
- server_name ops-coffee.cn;
-
- root /home/project/webapp;
- index index.html;
-
- location / {
- limit_conn ops 10;
- limit_conn coffee 2000;
- }
- }
- }
上边的设置不只会限定单一IP来历的毗连数为10,同时也会限定单一假造处事器的总毗连数为2000
缓冲区溢出进攻
缓冲区溢出进攻 是通过将数据写入缓冲区并超出缓冲区界线和重写内存片断来实现的,限定缓冲区巨细可有用防备
- client_body_buffer_size 1K;
- client_header_buffer_size 1k;
- client_max_body_size 1k;
- large_client_header_buffers 2 1k;
- client_body_buffer_size: 默认8k或16k,暗示客户端哀求body占用缓冲区巨细。假如毗连哀求高出缓存区指定的值,那么这些哀求实体的整体或部门将实行写入一个姑且文件。
- client_header_buffer_size: 暗示客户端哀求头部的缓冲区巨细。绝大大都环境下一个哀求头不会大于1k,不外假若有来自于wap客户端的较大的cookie它也许会大于 1k,Nginx将分派给它一个更大的缓冲区,这个值可以在large_client_header_buffers内里配置
- client_max_body_size: 暗示客户端哀求的最大可接管body巨细,它呈此刻哀求头部的Content-Length字段, 假如哀求大于指定的值,客户端将收到一个"Request Entity Too Large" (413)错误,凡是在上传文件随处事器时会受到限定
- large_client_header_buffers 暗示一些较量大的哀求头行使的缓冲区数目和巨细,默认一个缓冲区巨细为操纵体系平分页文件巨细,凡是是4k或8k,哀求字段不能大于一个缓冲区巨细,假如客户端发送一个较量大的头,nginx将返回"Request URI too large" (414),哀求的头部最长字段不能大于一个缓冲区,不然处事器将返回"Bad request" (400)
同时必要修改几个超时时刻的设置
- client_body_timeout 10;
- client_header_timeout 10;
- keepalive_timeout 5 5;
- send_timeout 10;
- client_body_timeout: 暗示读取哀求body的超时时刻,假如毗连高出这个时刻而客户端没有任何相应,Nginx将返回"Request time out" (408)错误
- client_header_timeout: 暗示读取客户端哀求头的超时时刻,假如毗连高出这个时刻而客户端没有任何相应,Nginx将返回"Request time out" (408)错误
- keepalive_timeout: 参数的第一个值暗示客户端与处事器长毗连的超时时刻,高出这个时刻,处事器将封锁毗连,可选的第二个参数参数暗示Response头中Keep-Alive: timeout=time的time值,这个值可以使一些赏识器知道什么时辰封锁毗连,以便处事器不消一再封锁,假如不指定这个参数,nginx不会在应Response头中发送Keep-Alive信息
- send_timeout: 暗示发送给客户端应答后的超时时刻,Timeout是指没有进入完备established状态,只完成了两次握手,假如高出这个时刻客户端没有任何相应,nginx将封锁毗连
Header头配置
通过以下配置可有用防备XSS进攻
- add_header X-Frame-Options "SAMEORIGIN";
- add_header X-XSS-Protection "1; mode=block";
- add_header X-Content-Type-Options "nosniff";
- X-Frame-Options: 相应头暗示是否应承赏识器加载frame等属性,有三个设置DENY榨取任何网页被嵌入,SAMEORIGIN只应承本网站的嵌套,ALLOW-FROM应承指定地点的嵌套
- X-XSS-Protection: 暗示启用XSS过滤(禁用过滤为X-XSS-Protection: 0),mode=block暗示若搜查到XSS进攻则遏制渲染页面
- X-Content-Type-Options: 相应头用来指定赏识器对未指定或错误指定Content-Type资源真正范例的揣摩举动,nosniff 暗示不应承任何揣摩
在凡是的哀求相应中,赏识器会按照Content-Type来判别相应的范例,但当相应范例未指定或错误指按时,赏识会实行启用MIME-sniffing来揣摩资源的相应范例,这长短常伤害的
譬喻一个.jpg的图片文件被恶意嵌入了可执行的js代码,在开启资源范例揣摩的环境下,赏识器将执行嵌入的js代码,也许会故意想不到的效果
其它尚有几个关于哀求头的安详设置必要留意 (编辑:湖南网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
