77 行
2.7 KiB
Plaintext
77 行
2.7 KiB
Plaintext
# LAB ONLY
|
|
# 用途: 授权攻防实验中的实验网关、响应头观测、限速演示和反向代理对照
|
|
# 目标范围: 本地实验集群、自有公网测试资产、已授权验证目标
|
|
# 风险: 可能影响流量路径、触发告警、改变缓存与安全头表现
|
|
# 不适用: 生产安全基线、默认公网部署、未授权第三方站点
|
|
|
|
worker_processes 1;
|
|
|
|
events {
|
|
worker_connections 1024;
|
|
}
|
|
|
|
http {
|
|
server_tokens off;
|
|
sendfile on;
|
|
|
|
limit_conn_zone $binary_remote_addr zone=lab_conn_limit:10m;
|
|
limit_req_zone $binary_remote_addr zone=lab_req_limit:10m rate=10r/s;
|
|
|
|
upstream lab_backend {
|
|
server 127.0.0.1:9001;
|
|
}
|
|
|
|
log_format lab_trace
|
|
'$remote_addr - $remote_user [$time_local] '
|
|
'"$request" $status $body_bytes_sent '
|
|
'"$http_referer" "$http_user_agent"';
|
|
|
|
access_log logs/access.log lab_trace;
|
|
error_log logs/error.log warn;
|
|
|
|
server {
|
|
listen 8088;
|
|
server_name lab-gateway.local;
|
|
|
|
# 实验用途: 便于观察头部、缓存和浏览器保护行为。
|
|
add_header X-Frame-Options "SAMEORIGIN" always;
|
|
add_header X-Content-Type-Options "nosniff" always;
|
|
add_header Referrer-Policy "strict-origin-when-cross-origin" always;
|
|
add_header Permissions-Policy "geolocation=(), microphone=(), camera=()" always;
|
|
|
|
# 注意:
|
|
# 下面的 CSP 仅用于实验演示,故意保留了较宽松的脚本执行能力,
|
|
# 便于复现 XSS、CSP 绕过和前端资源加载差异。
|
|
# 这不是生产推荐策略。
|
|
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; connect-src 'self' https:; frame-ancestors 'self';" always;
|
|
|
|
client_max_body_size 10M;
|
|
client_body_buffer_size 128k;
|
|
|
|
limit_conn lab_conn_limit 50;
|
|
limit_req zone=lab_req_limit burst=20 nodelay;
|
|
|
|
# 实验用途: 便于观察代理层对异常方法和扫描器指纹的处理。
|
|
# 这些规则仅用于教学和日志对照,不是生产推荐的主要防护手段。
|
|
if ($request_method !~ ^(GET|HEAD|POST)$) {
|
|
return 405;
|
|
}
|
|
|
|
if ($http_user_agent ~* (sqlmap|nikto|nmap|masscan|zap|burp|acunetix|nessus)) {
|
|
return 403;
|
|
}
|
|
|
|
if ($request_uri ~* \.\.) {
|
|
return 403;
|
|
}
|
|
|
|
location / {
|
|
proxy_pass http://lab_backend;
|
|
proxy_set_header Host $host;
|
|
proxy_set_header X-Real-IP $remote_addr;
|
|
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
|
proxy_set_header X-Forwarded-Proto $scheme;
|
|
}
|
|
}
|
|
}
|