Naxsi

什么是 Naxsi？ NAXSI 意为 Nginx 防 XSS 与 SQL 注入。 从技术上讲，它是一个第三方 Nginx 模块，可在多种类 UNIX 平台作为软件包使用。该模块默认读取一小部分简单（且可读性强）的规则，涵盖 99% 已知的网站漏洞模式。例如，<、| 或 drop 不应出现在 URI 中。 由于这些规则非常简单，可能会误匹配合法请求，因此由 Naxsi 管理员负责添加特定规则以白名单化合法行为。管理员可通过分析 Nginx 错误日志手动添加白名单，或（推荐做法）在项目初期启用高强度自动学习阶段，自动根据网站行为生成白名单规则。 简而言之，Naxsi 的行为如同默认拒绝（DROP-by-default）的防火墙，唯一任务是为目标网站添加必要的允许（ACCEPT）规则以使其正常运行。 有何不同之处？ 与大多数 Web 应用防火墙不同，Naxsi 不依赖类似杀毒软件的签名库，因此不会被“未知”攻击模式绕过。另一个主要区别在于，Naxsi 仅过滤 GET 和 POST 请求，它是自由软件（自由之意），且免费使用（免费之意）。 它运行在哪些平台？ Naxsi 兼容任何 Nginx 版本，尽管目前与近期版本 Nginx 新增的 HTTPv2 协议兼容性不佳。 它依赖 libpcre 提供正则表达式支持，据报告在 NetBSD、FreeBSD、OpenBSD、Debian、Ubuntu 和 CentOS 上运行良好。