Apache Django Mod_Wsgi - 自动重新加载应用程序

Question

weeheavy

Asked: 2014-09-23 12:31:30 +0800 CST2014-09-23 12:31:30 +0800 CST 2014-09-23 12:31:30 +0800 CST

Nginx/Apache：仅当 X-Forwarded-Proto 为 https 时才设置 HSTS

772

我得到了以下设置：

Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]

现在有些网站只能通过 HTTPS 和有效的 SSL 证书访问。对于这几个例外，我想在 nginx（首选，或在 Apache）上激活 HSTS。

问题：

在 nginx 上，我需要一些逻辑 à laif Host = foo.tld然后 set Strict-Transport-Security xxx，但根据http://wiki.nginx.org/IfIsEvil不应该if在 alocation
在 Apache 上，我需要类似的东西if X-Forwarded-Proto 443 set Strict-Transport-Security xxx，但我似乎无法使用SetEnvIf(Apache 2.2)构建它

我的逻辑有问题吗？方法的另一个想法？

这是当前活动的配置：

nginx

服务器 {
        server_tokens 关闭；

        听 xx.xx.xxx.xxx:80;
        server_name 本地主机；

        地点 / {
                proxy_pass http://127.0.0.1:81;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port 80；
                proxy_set_header 主机 $host;
                add_header X-XSS-Protection "1; mode=block";
        }
}

服务器 {
        server_tokens 关闭；

        听 xx.xx.xxx.xxx:443 ssl；
        server_name 本地主机；

        开启ssl；
        ssl_certificate /etc/ssl/foo.crt;
        ssl_certificate_key /etc/ssl/private/foo.key;

        ssl_session_timeout 10m；

        # http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2；
        ssl_prefer_server_ciphers 开启；
        ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

        地点 / {
                proxy_pass http://127.0.0.1:81;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                proxy_set_header X-Forwarded-Proto $scheme;
                proxy_set_header X-Forwarded-Port 443；
                proxy_set_header 主机 $host;
                add_header X-XSS-Protection "1; mode=block";
        }
}

漆

无特殊配置。

阿帕奇

<VirtualHost *:82>
[...] nothing special
</VirtualHost>

2 个回答

Voted

Alexey Ten · Answer 1 · 2014-09-24T23:51:29+08:00

您可以有多个服务器块。因此，只需为需要 HSTS 的域添加新的服务器块。

server {
    listen xx.xx.xxx.xxx:443 ssl default_server;

    # all ssl stuff
    # and other directives
}

server {
    listen xx.xx.xxx.xxx:443 ssl;
    server_name example.com other.example.com;

    # all ssl stuff
    # and other directives with HSTS enabled
}

example.com这里第一个块将处理除and之外的所有 https 连接other.example.com。

如果你有标志，你不需要ssl on指令。ssllisten

编辑

还有另一种解决方案，只有一个服务器块：

map $scheme:$host $hsts_header {
    default "";
    https:example.com "max-age=31536000";
    https:other.example.com "max-age=31536000";
}

server {
    server_tokens off;

    listen xx.xx.xxx.xxx:80;
    listen xx.xx.xxx.xxx:443 ssl;

    ssl_certificate /etc/ssl/foo.crt;
    ssl_certificate_key /etc/ssl/private/foo.key;

    ssl_session_timeout 10m;

    # ... other ssl stuff

    location / {
        proxy_pass http://127.0.0.1:81;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-Forwarded-Port $server_port;
        proxy_set_header Host $host;
        add_header X-XSS-Protection "1; mode=block";
        add_header Strict-Transport-Security $hsts_header;
    }
}

我们使用map定义 HSTS 标头值并使用事实，而不是 nginx 不会添加具有空值的标头。

nicoo · Answer 2 · 2015-09-11T14:07:14+08:00

nicoo

2015-09-11T14:07:14+08:002015-09-11T14:07:14+08:00

您还可以无条件地添加 HSTS 标头。

事实上，它只有在连接成功、通过 TLS 且没有证书警告的情况下才会生效。参见 RFC6797的第 5.1 段。

-1

Nginx/Apache：仅当 X-Forwarded-Proto 为 https 时才设置 HSTS

新安装后 postgres 的默认超级用户用户名/密码是什么？

SFTP 使用什么端口？

命令行列出 Windows Active Directory 组中的用户？

什么是 Pem 文件，它与其他 OpenSSL 生成的密钥文件格式有何不同？

如何确定bash变量是否为空？

Nginx/Apache：仅当 X-Forwarded-Proto 为 https 时才设置 HSTS

2 个回答

相关问题