漏洞名称:web服务器http信息头公开
解决,在以下各个监听端口加上一行,然后重启nginx
server_tokens off;
漏洞名称:默认的nginx http服务器设置
解决:请求头加上以下参数
add_header Content-Security-Policy "default-src 'self';";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header X-Frame-Options "SAMEORIGIN";
漏洞名称:允许的http方法
解决:在nginx配置文件中添加以下配置
写在location中
if ($request_method !~ ^(GET|POST|DELETE|PUT)$) { return 405; }
if ($request_method !~ ^(options)$) { return 405; }