Nginx Web服務(wù)器，直接貼代碼，如果你的服務(wù)器也需要設(shè)置Nginx請(qǐng)求頭，可以直接使用。

在長(zhǎng)期的網(wǎng)站建設(shè)和軟件開(kāi)發(fā)過(guò)程種，生產(chǎn)環(huán)境的服務(wù)器運(yùn)維服務(wù)中最常見(jiàn)的設(shè)置。

在服務(wù)器塊下的nginx.conf中添加以下參數(shù)

server {

      listen       443;

      server_name  ds.v.com;  # 駕駛

      location / {

    #Nginx配置

    #Strict-Transport-Security響應(yīng)頭缺失

    add_header Strict-Transport-Security 'max-age=15552000';

    #HTTP X-Permitted-Cross-Domain-Policies 響應(yīng)頭缺失

    add_header X-Permitted-Cross-Domain-Policies 'none';

    #點(diǎn)擊劫持漏洞（X-Frame-Options）

    add_header X-Frame-Options SAMEORIGIN;

    #Referrer-Policy響應(yīng)頭缺失

    add_header Referrer-Policy "no-referrer";

    #X-Content-Type-Options響應(yīng)頭缺失

    add_header X-Content-Type-Options nosniff;

    #X-Download-Options響應(yīng)頭缺失

    add_header X-Download-Options 'noopen';

    # Content-Security-Policy響應(yīng)頭缺失

    add_header Content-Security-Policy "script-src * 'unsafe-inline' 'unsafe-eval'";

    #X-XSS-Protection響應(yīng)頭缺失

    add_header X-XSS-Protection '1;mode=block';

    #會(huì)話(huà)cookie中缺少HttpOnly屬性

    add_header Set-Cookie "Path=/; HttpOnly; Secure"

        ...

      }

    }

本次操作逐一排查，凡是新增的服務(wù)器都相應(yīng)做了設(shè)置，以前老客戶(hù)的服務(wù)器之前都已經(jīng)操作過(guò)，不在此次的范圍內(nèi)。

已于昨日處理完畢，此次處理沒(méi)有影響服務(wù)器使用。

請(qǐng)求

請(qǐng)求，由客戶(hù)端向服務(wù)端發(fā)出，可以分為3部分內(nèi)容：請(qǐng)求方法(Request Method) 、請(qǐng)求的網(wǎng)址( Request URL ）、請(qǐng)求報(bào)文（Request message）

請(qǐng)求方法

常見(jiàn)的請(qǐng)求方法有兩種：GET和POST。

在瀏覽器中直接輸入 URL 并回車(chē)，這便發(fā)起了一個(gè) GET 請(qǐng)求，請(qǐng)求的參數(shù)會(huì)直接包含到 URL里。例如，在百度中搜索 Python ，這就是一個(gè) GET 請(qǐng)求，鏈接為 https://www. baidu.corn/s?wd=Pthon，其中 URL 中包含了請(qǐng)求的參數(shù)信息，這里參數(shù) wd 表示要搜尋的關(guān)鍵字 。

POST 請(qǐng)求大多在表單提交時(shí)發(fā)起。比如，對(duì)于一個(gè)登錄表單，輸入用戶(hù)名和密碼后，點(diǎn)擊“登錄”按鈕，這通常會(huì)發(fā)起一個(gè) POST請(qǐng)求，其數(shù)據(jù)通常以表單的形式傳輸，而不會(huì)體現(xiàn)在 URL中。

兩者區(qū)別

GET 請(qǐng)求中的參數(shù)包含在 URL 里面，數(shù)據(jù)可以在 URL 中看到，而 POST 請(qǐng)求的 URL 會(huì)包含這些數(shù)據(jù)，數(shù)據(jù)都是通過(guò)表單形式傳輸?shù)?，?huì)包含在請(qǐng)求體中。

GET 請(qǐng)求提交的數(shù)據(jù)最多只有 1024 字節(jié)，而 POST 方式?jīng)]有限制。

一般來(lái)說(shuō)，登錄時(shí)，需要提交用戶(hù)名和密碼，其中包含了信息，使用 GET 方式請(qǐng)求的話(huà)，密碼就會(huì)暴露在 URL 里面，造成密碼泄露，所以這里-以 POST 方式發(fā)送。上傳文件時(shí)，由于文件內(nèi)容比較大，也會(huì)選用 POST 方式。

其他請(qǐng)求方式

請(qǐng)求報(bào)文

由請(qǐng)求行、請(qǐng)求頭、請(qǐng)求體組成

請(qǐng)求行

由請(qǐng)求方式和HTTP協(xié)議和版本組成

如：GET / HTTP/1.1

請(qǐng)求頭

請(qǐng)求頭，用來(lái)說(shuō)明服務(wù)器要使用的附加信息，比較重要的信息有 Cookie 、Referer、User-Agent等。下面簡(jiǎn)要說(shuō)明一些常用的頭信息。

Accept

請(qǐng)求報(bào)頭域，用于指定客戶(hù)端可接受哪些類(lèi)型的信息。

Accept-Language

指定客戶(hù)端可接受的語(yǔ)言類(lèi)型。

Accept-Encoding

指定客戶(hù)端可接受的內(nèi)容編碼。

Host

用于指定請(qǐng)求資源的主機(jī) IP 和端口號(hào)，其內(nèi)容為請(qǐng)求 URL 的原始服務(wù)器或網(wǎng)關(guān)的位置。從HTTP 1. 版本開(kāi)始，請(qǐng)求必須包含此內(nèi)容。

Cookie

也常用復(fù)數(shù)形式 Cookies ，這是網(wǎng)站為了辨別用戶(hù)進(jìn)行會(huì)話(huà)跟蹤而存儲(chǔ)在用戶(hù)本地的數(shù)據(jù)。它的主要功能是維持當(dāng)前訪(fǎng)問(wèn)會(huì)話(huà)。例如，我們輸入用戶(hù)名和密碼成功登錄某個(gè)網(wǎng)站后，服務(wù)器會(huì)用會(huì)話(huà)保存登錄狀態(tài)信息，后面我們每次刷新或請(qǐng)求該站點(diǎn)的其他頁(yè)面時(shí)，會(huì)發(fā)現(xiàn)都是登錄狀態(tài)，這就是Cookies 的功勞。Cookies 里有信息標(biāo)識(shí)了我們所對(duì)應(yīng)的服務(wù)器的會(huì)話(huà)，每次瀏覽器在請(qǐng)求該站點(diǎn)的頁(yè)面時(shí)，都會(huì)在請(qǐng)求頭中加上 Cookies 并將其發(fā)送給服務(wù)器，服務(wù)器通過(guò) Cookies 識(shí)別出是我們自己，并且查出當(dāng)前狀態(tài)是登錄狀態(tài)，所以返回結(jié)果就是登錄之后才能看到的網(wǎng)頁(yè)內(nèi)容。

Referer

此內(nèi)容用來(lái)標(biāo)識(shí)這個(gè)請(qǐng)求是從哪個(gè)頁(yè)面發(fā)過(guò)來(lái)的，服務(wù)器可以拿到這 信息并做相應(yīng)的處理，如做來(lái)源統(tǒng)計(jì)、防盜鏈處理等。

User-Agent

簡(jiǎn)稱(chēng) UA ，它是一個(gè)特殊的字符串頭，可以使服務(wù)器識(shí)別客戶(hù)使用的操作系統(tǒng)及版本 瀏覽器及版本等信息 在做爬蟲(chóng)時(shí)加上此信息，可以偽裝為瀏覽器；如果不加，很可能會(huì)被識(shí)別出為爬蟲(chóng)。

Content-Type

也叫互聯(lián)網(wǎng)媒體類(lèi)型（ Internet Media Type ）或者 MIME 類(lèi)型，在 HTTP協(xié)議消息頭中，它用來(lái)表示具體請(qǐng)求中的媒體類(lèi)型信息。例如， text/html 代表 HTML 格式，image/gif 代表 GIF 圖片， application/json 代表JSON 類(lèi)型，

在爬蟲(chóng)中，如果要構(gòu)造 POST 請(qǐng)求，需要使用正確的 Content-Type，并了解各種請(qǐng)求庫(kù)的各個(gè)參數(shù)設(shè)置時(shí)使用的是哪種 Content-Type，不然可能會(huì)導(dǎo)致 POST 提交后無(wú)法正常響應(yīng)。

請(qǐng)求體

內(nèi)容是 POST 請(qǐng)求中的表單數(shù)據(jù)，而對(duì)于 GET 請(qǐng)求，請(qǐng)求體則為空。

響應(yīng)

響應(yīng)，由服務(wù)端返回給客戶(hù)端，響應(yīng)報(bào)文可以分為三部分：響應(yīng)行（ Response line ）、響應(yīng)頭( Response Headers ）和響應(yīng)體（ Response Body）。

響應(yīng)行

由HTTP版本響應(yīng)、狀態(tài)碼、狀態(tài)描述組成。

如；HTTP/1.1 200 OK

響應(yīng)狀態(tài)碼

表示服務(wù)器的響應(yīng)狀態(tài)。

常見(jiàn)的狀態(tài)碼有：

200

請(qǐng)求成功

307

重定向

400

錯(cuò)誤的請(qǐng)求

404

請(qǐng)求資源在服務(wù)器中不存在

500 

服務(wù)器內(nèi)部源代碼出現(xiàn)錯(cuò)誤

狀態(tài)碼和錯(cuò)誤原因如下圖：

響應(yīng)頭

用來(lái)說(shuō)明響應(yīng)的數(shù)據(jù)

常用的響應(yīng)頭如下：

Accept-Patch

指定服務(wù)器所支持的文檔補(bǔ)丁格式

Accept-Ranges

服務(wù)器所支持的內(nèi)容范圍

Content-Disposition

對(duì)已知MIME類(lèi)型資源的描述，瀏覽器可以根據(jù)這個(gè)響應(yīng)頭決定是對(duì)返回資源的動(dòng)作，如：將其下載或是打開(kāi)。

Content-Encoding

響應(yīng)資源所使用的編碼類(lèi)型。

Content-Language

響就內(nèi)容所使用的語(yǔ)言

Content-Length

響應(yīng)消息體的長(zhǎng)度，用8進(jìn)制字節(jié)表示

Content-Type

當(dāng)前內(nèi)容的MIME類(lèi)型

Date

此條消息被發(fā)送時(shí)的日期和時(shí)間(以RFC 7231中定義的"HTTP日期"格式來(lái)表示)

Expires

指定一個(gè)日期/時(shí)間，超過(guò)該時(shí)間則認(rèn)為此回應(yīng)已經(jīng)過(guò)期

Server

服務(wù)器的名稱(chēng)

響應(yīng)體

就是網(wǎng)頁(yè)的代碼