我得到了以下设置:
Internet => nginx[public:80 +443, SSL termination)
=> Varnish[localhost:81] => Apache[localhost:82]
现在有些网站只能通过 HTTPS 和有效的 SSL 证书访问。对于这几个例外,我想在 nginx(首选,或在 Apache)上激活 HSTS。
问题:
- 在 nginx 上,我需要一些逻辑 à la
if Host = foo.tld然后 setStrict-Transport-Security xxx,但根据http://wiki.nginx.org/IfIsEvil不应该if在 alocation - 在 Apache 上,我需要类似的东西
if X-Forwarded-Proto 443 set Strict-Transport-Security xxx,但我似乎无法使用SetEnvIf(Apache 2.2)构建它
我的逻辑有问题吗?方法的另一个想法?
这是当前活动的配置:
nginx
服务器 {
server_tokens 关闭;
听 xx.xx.xxx.xxx:80;
server_name 本地主机;
地点 / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port 80;
proxy_set_header 主机 $host;
add_header X-XSS-Protection "1; mode=block";
}
}
服务器 {
server_tokens 关闭;
听 xx.xx.xxx.xxx:443 ssl;
server_name 本地主机;
开启ssl;
ssl_certificate /etc/ssl/foo.crt;
ssl_certificate_key /etc/ssl/private/foo.key;
ssl_session_timeout 10m;
# http://blog.ivanristic.com/2013/08/configuring-apache-nginx-and-openssl-for-forward-secrecy.html
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_prefer_server_ciphers 开启;
ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";
地点 / {
proxy_pass http://127.0.0.1:81;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port 443;
proxy_set_header 主机 $host;
add_header X-XSS-Protection "1; mode=block";
}
}
漆
无特殊配置。
阿帕奇
<VirtualHost *:82>
[...] nothing special
</VirtualHost>