NGINX 作為流量入口，其安全性直接決定整個服務架構的安全底線。日常運維中，針對異常請求、跨站風險及敏感信息泄露的加固措施必不可少。本文以技術筆記形式，總結 NGINX 安全加固的三大核心實操方向——請求過濾、跨站風險防護、敏感信息隱藏，為構建安全可靠的 NGINX 服務提供可落地的配置思路。

一、請求過濾：攔截惡意請求，築牢入口防線

請求過濾是 NGINX 安全加固的第一道屏障，核心目標是提前攔截異常請求（如違規參數注入、路徑越權訪問、異常客户端標識），減少後端服務壓力。實操配置要點如下：

1. 路徑與請求方法過濾：通過 location 指令限制訪問範圍，對敏感路徑（如 /admin、/conf）配置 IP 白名單（allow 可信 IP; deny all;）；禁用危險請求方法（如 PUT、DELETE），僅允許 GET、POST 等必要方法，配置示例：if ($request_method !~ ^(GET|POST)$) { return 403; }

2. 異常參數與字符過濾：利用 ngx_http_core_module 或 ngx_http_limit_req_module，過濾請求參數中的異常字符（如非法引號、尖括號、違規關鍵字等），可通過 if 指令匹配並返回 403 禁止訪問；

3. 限流防護：結合 limit_req 模塊對單 IP 進行請求頻率限制，防止高頻試探行為，同時通過 limit_conn 模塊限制單 IP 併發連接數，避免資源耗盡。

二、跨站風險防護：阻斷非法跨站行為，保障用户安全

跨站相關風險是 Web 應用常見安全隱患，NGINX 可通過配置響應頭和請求驗證實現防護：

1. 跨站腳本風險防護：核心是配置 X-XSS-Protection 響應頭（add_header X-XSS-Protection "1; mode=block";），開啓瀏覽器內置安全過濾機制；同時設置 Content-Security-Policy（CSP）頭，限制腳本加載源（如僅允許同源腳本），從根源阻斷非法腳本執行；

2. 跨站請求風險防護：通過配置 SameSite Cookie 屬性（add_header Set-Cookie "CSRF_TOKEN=$token; SameSite=Strict; HttpOnly; Secure;";），限制 Cookie 僅在同源請求中攜帶，避免非法跨站請求；對於需要跨域的場景，可配合後端實現安全令牌驗證，NGINX 負責傳遞令牌參數。

三、敏感信息隱藏：減少信息泄露，降低攻風險

NGINX 默認配置會泄露服務版本、操作系統等敏感信息，這些信息可能被非法利用。需通過配置隱藏敏感信息：

1. 隱藏 NGINX 版本信息：在 main 配置塊中添加 server_tokens off;，關閉響應頭中的 Server 字段版本信息；若需自定義 Server 字段，可通過第三方模塊（如 ngx_http_headers_module）修改；

2. 禁用目錄索引與敏感文件訪問：關閉 autoindex 指令（autoindex off;），避免目錄遍歷泄露文件結構；禁止訪問敏感文件（如 .htaccess、.git、.env），配置示例：location ~ /\.(ht|git|env) { deny all; }

3. 開啓 HTTPS 與安全 Cookie：強制將 HTTP 請求重定向至 HTTPS（return 301 https://$host$request_uri;），通過 SSL 加密傳輸數據；同時為 Cookie 配置 Secure 屬性，確保僅在 HTTPS 連接中傳輸，避免明文泄露。

總結：NGINX 安全加固需從“入口攔截、攻阻斷、信息隱藏”多維度協同推進。通過合理配置請求過濾規則、強化 XSS/CSRF 防護響應頭、隱藏敏感信息，可大幅提升 NGINX 服務的安全性。實操中需結合業務場景靈活調整配置，同時定期更新 NGINX 版本、審計訪問日誌，及時發現並修復安全隱患。