Nginx CSRF防护设置（手把手教你用Nginx防御跨站请求伪造攻击）

什么是 CSRF？

CSRF（Cross-Site Request Forgery）即跨站请求伪造，是一种攻击方式：攻击者利用用户已登录的身份，在用户不知情的情况下，向目标网站发送恶意请求。例如，你登录了银行网站，然后访问了一个恶意网页，该网页自动向银行发起转账请求——由于浏览器会自动携带 Cookie，银行服务器误以为这是你的合法操作。

Nginx 能做什么？

严格来说，Nginx 本身不能完全防止 CSRF，因为它工作在 HTTP 层，无法验证请求是否来自合法用户操作。但我们可以借助 Nginx 的功能来限制可疑请求，比如：

• 检查 Referer 头部
• 限制特定方法（如 POST）的来源
• 配合后端设置安全头

方法一：通过 Referer 检查限制请求来源

大多数合法的表单提交都会包含正确的 Referer 头（表示请求从哪个页面发起）。我们可以配置 Nginx 拒绝没有或非法 Referer 的敏感请求。

location /transfer {    # 只允许来自本站的请求    if ($http_referer !~* ^https://yourdomain\.com) {        return 403;    }    proxy_pass http://backend;}  

注意：Referer 可能被浏览器或代理删除，因此不能作为唯一防护手段，但可作为辅助措施。

方法二：设置安全响应头

虽然不直接防 CSRF，但设置安全头可以提升整体安全性，间接减少攻击面。例如添加 X-Frame-Options 防止点击劫持（Clickjacking），这也是 CSRF 的一种变种。

add_header X-Frame-Options "SAMEORIGIN" always;add_header X-Content-Type-Options "nosniff" always;add_header Referrer-Policy "strict-origin-when-cross-origin" always;  

将上述代码添加到你的 Nginx server 块中，即可全局生效。

方法三：限制 HTTP 方法

对于只接受 POST 的接口，可以拒绝 GET 请求，减少被 CSRF 利用的可能性。

location /api/change-password {    limit_except POST {        deny all;    }    proxy_pass http://backend;}  

重要提醒

以上 Nginx 配置仅作为辅助防护手段。真正的 CSRF 防护应由应用层实现，例如：

• 为每个表单生成一次性 CSRF Token
• 验证 SameSite Cookie 属性（推荐设置为 Strict 或 Lax）

结合 Web应用安全 最佳实践与 Nginx 安全配置，才能构建更坚固的防御体系。

总结

本文介绍了如何通过 Nginx 进行基础的 Nginx CSRF防护 设置，包括 Referer 检查、安全头设置和 HTTP 方法限制。这些措施虽不能替代应用层的 CSRF Token 机制，但能有效提升系统整体安全性，是 跨站请求伪造防护 的重要补充。建议开发者在部署 Web 应用时，同时关注 Nginx安全配置 与代码层面的安全设计。

安全无小事，从每一个细节做起！