我有nginx背后的流星 - nginx正在听443.如果我在meteor中将force-ssl设置为true,手册建议“为force-ssl包设置标准的x-forwarded-proto标头。”
这是否意味着我已经添加了proxy_set_header X-Forwarded-Proto $ proxy_add_x_forwarded_for;在我的nginx配置?
当我已经有add_header Strict-Transport-Security max-age = 31536000时,这究竟是什么能够保护我免受攻击?和add_header X-Frame-Options DENY;在我的nginx.conf中?
谢谢!!!
答案 0 :(得分:0)
目前nginx背后的流星可能不是一个好主意,如果它用于多个流星实例,因为它们无法共享客户端的状态,直到它们释放他们的DDP代理。但是,如果它是docs的单个实例,则必须在nginx配置中设置该标头。
这只能确保如果没有SSL加载meteor,它会强制浏览器使用SSL。如果您已经有一个nginx设置为您执行此操作,force-ssl包将不会为您做额外的补充。