セキュリティ向上させるためのnginxの設定した
とりあえず特に重要なサービス運用してるわけじゃないので、厳しめの設定にしておいて、問題があったら詳しく調べて直してく感じで
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
add_header X-XSS-Protection "1; mode=block"; add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff;
Content Security Policy (CSP)について
https://developer.mozilla.org/ja/Introducing_Content_Security_Policy
add_header X-Content-Security-Policy "allow 'self'";
ほとんどIE8の設定なのでIEで表示されてなかったらすいませんと言う他ない(面倒なので確認してない)
ヘッダーをhttpieで確認してみる
$ http http://kymt.me | head -n 15 HTTP/1.1 200 OK Server: nginx Date: Tue, 31 Jul 2012 03:19:07 GMT Content-Type: text/html Last-Modified: Thu, 05 Jul 2012 01:45:24 GMT Transfer-Encoding: chunked Connection: keep-alive X-XSS-Protection: 1; mode=block X-Frame-Options: DENY X-Content-Type-Options: nosniff X-Content-Security-Policy: allow 'self' Set-Cookie: kymtuid=MdSq1FAXTqt5qEl7AwNVAg==; expires=Mon, 29-Oct-12 03:19:07 GMT; path=/ Content-Encoding: gzip <!DOCTYPE html>
