# LAB ONLY # 用途: 授权攻防实验中的实验网关、响应头观测、限速演示和反向代理对照 # 目标范围: 本地实验集群、自有公网测试资产、已授权验证目标 # 风险: 可能影响流量路径、触发告警、改变缓存与安全头表现 # 不适用: 生产安全基线、默认公网部署、未授权第三方站点 worker_processes 1; events { worker_connections 1024; } http { server_tokens off; sendfile on; limit_conn_zone $binary_remote_addr zone=lab_conn_limit:10m; limit_req_zone $binary_remote_addr zone=lab_req_limit:10m rate=10r/s; upstream lab_backend { server 127.0.0.1:9001; } log_format lab_trace '$remote_addr - $remote_user [$time_local] ' '"$request" $status $body_bytes_sent ' '"$http_referer" "$http_user_agent"'; access_log logs/access.log lab_trace; error_log logs/error.log warn; server { listen 8088; server_name lab-gateway.local; # 实验用途: 便于观察头部、缓存和浏览器保护行为。 add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always; # 注意: # 下面的 CSP 仅用于实验演示,故意保留了较宽松的脚本执行能力, # 便于复现 XSS、CSP 绕过和前端资源加载差异。 # 这不是生产推荐策略。 add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self';" always; client_max_body_size 10M; client_body_buffer_size 128k; limit_conn lab_conn_limit 50; limit_req zone=lab_req_limit burst=20 nodelay; # 实验用途: 便于观察代理层对异常方法和扫描器指纹的处理。 # 这些规则仅用于教学和日志对照,不是生产推荐的主要防护手段。 if ($request_method !~ ^(GET|HEAD|POST)$) { return 405; } if ($http_user_agent ~* (sqlmap|nikto|nmap|masscan|zap|burp|acunetix|nessus)) { return 403; } if ($request_uri ~* \.\.) { return 403; } location / { proxy_pass http://lab_backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } } }