Pazartesi, Kasım 4, 2024

NGINX’de HTTP Güvenlik Headerları Nasıl Ayarlanır?

yüksek çözünürlüklü nginx logosu

İnternette yer alan HTTP güvenlik başlıklarını kontrol eden ve puanlayan ne kadar site varsa, hepsinde A+ not almanıza imkan sağlayacak yapılandırmayı aşağıya bırakıyorum. Güvenliğiniz için olmazsa olmazlarımız.

# Security Headers
add_header X-Frame-Options "SAMEORIGIN" always;
add_header X-XSS-Protection "1; mode=block" always;
add_header X-Content-Type-Options "nosniff" always;
add_header Referrer-Policy "no-referrer-when-downgrade" always;
add_header Expect-CT "enforce, max-age=30, report-uri='https://{subdomain}.report-uri.com/r/d/ct/enforce'" always;
add_header NEL '{"report_to":"default","max_age":31536000,"include_subdomains":true}' always;
add_header Report-To '{"group":"default","max_age":31536000,"endpoints":[{"url":"https://{subdomain}.report-uri.com/a/d/g"}],"include_subdomains":true}' always;
add_header Feature-Policy "accelerometer 'none'; camera 'none'; geolocation 'none'; gyroscope 'none'; magnetometer 'none'; microphone 'none'; payment 'none'; usb 'none'" always;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

# Additional
add_header Content-Security-Policy "default-src 'self' data: https: cdn.mertcangokgoz.com mertcangokgoz.com; object-src 'self' data: https: cdn.mertcangokgoz.com public-files.mertcangokgoz.com; script-src 'self' 'unsafe-inline' data: https: mertcangokgoz.com cdn.mertcangokgoz.com cdnjs.cloudflare.com; frame-ancestors 'self'; form-action 'self'; upgrade-insecure-requests; font-src 'self' data: https: cdn.mertcangokgoz.com; img-src 'self' data: https: cdn.mertcangokgoz.com" always;

Verdiklerimin herhangi bir tanesini veya birkaçını direk olarak kullandığınız /etc/nginx/nginx.conf dosyası içerisine tanımlamanız yeterli olacak.

Ardından web sunucusunu nginx -s reload ile yeniden başlattığınızda değişikliği görebilirsiniz.