Nginx安全架构设计：防范CSRF、XSS和SQL注入攻击

一、概述

作为IT工程师，我将为您提供一套完整的Nginx安全架构设计方案，重点防范CSRF、XSS和SQL注入这三大常见Web安全威胁。Nginx作为反向代理和Web服务器，可以通过多种配置手段增强应用安全性。

二、防范CSRF攻击

1. 同源策略强化

add_header X-Frame-Options "SAMEORIGIN";
add_header X-Content-Type-Options "nosniff";
add_header Referrer-Policy "strict-origin-when-cross-origin";

2. CSRF Token验证支持

# 确保只接受POST请求处理敏感操作
location /api/ {
    if ($request_method !~ ^(POST)$ ) {
        return 405;
    }

    # 代理传递CSRF Token头
    proxy_set_header X-CSRF-Token $http_x_csrf_token;
}

三、防范XSS攻击

1. 内容安全策略(CSP)

add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://trusted.cdn.com; style-src 'self' 'unsafe-inline'; img-src 'self' data:; font-src 'self'; connect-src 'self'; frame-src 'none'; object-src 'none'";

2. XSS保护头

add_header X-XSS-Protection "1; mode=block";

3. 输入过滤

# 拦截常见XSS攻击向量
set $xss "";
if ($query_string ~* "javascript:") { set $xss "1"; }
if ($query_string ~* "<script") { set $xss "1"; }
if ($xss = "1") { return 403; }

四、防范SQL注入

1. 请求参数过滤

# 拦截常见SQL注入模式
location ~* \.php$ {
    set $sql_inj "";
    if ($query_string ~* "union.*select") { set $sql_inj "1"; }
    if ($query_string ~* "concat.*\(") { set $sql_inj "1"; }
    if ($query_string ~* "information_schema") { set $sql_inj "1"; }
    if ($sql_inj = "1") { return 403; }

    # PHP处理配置
    fastcgi_pass php-fpm;
    include fastcgi_params;
}

2. 限制HTTP方法

# 只允许必要的HTTP方法
location / {
    if ($request_method !~ ^(GET|HEAD|POST)$ ) {
        return 405;
    }
}

五、综合安全配置

1. SSL/TLS强化

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305';
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

2. 请求限制

# 防止暴力破解
limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

location /login {
    limit_req zone=one burst=20;
}

3. 隐藏服务器信息

server_tokens off;
more_clear_headers 'Server';
more_clear_headers 'X-Powered-By';

六、监控与日志

1. 安全日志记录

log_format security '$remote_addr - $remote_user [$time_local] '
                   '"$request" $status $body_bytes_sent '
                   '"$http_referer" "$http_user_agent" '
                   '$request_time $upstream_response_time '
                   '[$http_x_forwarded_for]';

access_log /var/log/nginx/security.log security;

2. 错误请求拦截

# 拦截非法User-Agent
if ($http_user_agent ~* (nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan) ) {
    return 403;
}

七、实施建议

1. 分阶段部署：先在测试环境验证配置，再逐步应用到生产环境
2. 持续监控：设置警报监控403/405等错误代码的异常增加
3. 定期审计：每季度审查安全配置，更新防护规则
4. 多层防御：Nginx配置应与应用层安全措施(如WAF)配合使用
5. 备份配置：修改前备份nginx.conf，确保可以快速回滚

通过以上Nginx安全架构设计，可以显著提高Web应用对CSRF、XSS和SQL注入攻击的防御能力，同时不影响合法用户的正常访问体验。