在http块中加入如下设置：

# 不要将Nginx版本号在错误页面或服务器头部中显示

server_tokens off;

#设置HSTS，强制需要输入https或http

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

# 这是为了失效某些浏览器的内容类型探嗅

#add_header X-Content-Type-Options nosniff;

# 防止跨站脚本 Cross-site scripting (XSS) 

add_header X-XSS-Protection "1; mode=block";

add_header    Set-Cookie "HttpOnly";

add_header    Set-Cookie "Secure";

add_header    X-Frame-Options "SAMEORIGIN";

add_header    Content-Security-Policy: 'default-src self';

#支持跨域请求

add_header Access-Control-Allow-Origin *;

#请求时可带上Cookie

add_header 'Access-Control-Allow-Credentials' 'true';

#请求时可用的方法

add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS';

#系统内核空间直接文件复制

sendfileon;

#关闭TCP小包延迟发送特性（Nagle算法）

tcp_nodelayon;

tcp_nopush on;

该文章对你有帮助吗，求分享转发： 分享到QQ空间 分享给QQ好友