在当今的网络环境中，安全问题始终是网站运营者需要高度关注的重点。XSS（跨站脚本攻击）和 SQL 注入是两种常见且危害极大的网络攻击手段。Nginx 作为一款高性能的 Web 服务器和反向代理服务器，具备强大的功能来帮助我们防止这些攻击。本文将详细介绍如何利用 Nginx 构建一套组合防护策略，有效抵御 XSS 和 SQL 注入攻击。

一、理解 XSS 和 SQL 注入攻击

在探讨防护策略之前，我们需要深入了解 XSS 和 SQL 注入攻击的原理和危害。

XSS 攻击是指攻击者通过在目标网站注入恶意脚本，当用户访问该网站时，脚本会在用户的浏览器中执行，从而获取用户的敏感信息，如会话令牌、cookie 等。XSS 攻击主要分为反射型、存储型和 DOM 型三种。反射型 XSS 通常通过 URL 参数注入恶意脚本，当用户点击包含恶意脚本的链接时，脚本会在页面中执行；存储型 XSS 是将恶意脚本存储在服务器端，当其他用户访问包含该脚本的页面时，脚本会被执行；DOM 型 XSS 则是通过修改页面的 DOM 结构来注入恶意脚本。

SQL 注入攻击是指攻击者通过在输入框中输入恶意的 SQL 语句，绕过应用程序的输入验证，从而执行非法的 SQL 操作，如获取数据库中的敏感信息、修改或删除数据等。SQL 注入攻击的危害极大，可能导致数据库泄露、数据被篡改甚至整个系统被破坏。

二、Nginx 基本配置防御

首先，我们可以通过 Nginx 的基本配置来进行初步的防御。

1. 限制请求方法：只允许必要的请求方法，如 GET 和 POST，禁止其他可能被利用的请求方法。可以在 Nginx 配置文件中添加以下代码：

server {
    if ($request_method !~ ^(GET|POST)$ ) {
        return 405;
    }
    # 其他配置
}

这段代码会检查请求的方法，如果不是 GET 或 POST，就返回 405 状态码，表示不允许该请求方法。

2. 限制请求头：可以对请求头进行过滤，防止恶意的请求头信息。例如，禁止包含特定关键字的请求头：

server {
    if ($http_user_agent ~* (malicious_keyword)) {
        return 403;
    }
    # 其他配置
}

这里的 “malicious_keyword” 可以替换为你认为可能存在风险的关键字，当请求头中包含该关键字时，返回 403 状态码，表示禁止访问。

三、利用 Nginx 正则表达式过滤

正则表达式是一种强大的文本匹配工具，我们可以利用它来过滤请求中的恶意字符。

1. 过滤 XSS 攻击：对于可能包含 XSS 攻击的输入，如 URL 参数、表单数据等，可以使用正则表达式进行过滤。例如，过滤包含 HTML 标签的输入：

server {
    if ($query_string ~* "<[^>]*>") {
        return 403;
    }
    # 其他配置
}

这段代码会检查 URL 参数中是否包含 HTML 标签，如果包含则返回 403 状态码。

2. 过滤 SQL 注入攻击：对于可能包含 SQL 注入的输入，如数据库查询参数等，可以使用正则表达式过滤常见的 SQL 注入关键字。例如：

server {
    if ($query_string ~* "(union|select|insert|update|delete|drop)") {
        return 403;
    }
    # 其他配置
}

这段代码会检查 URL 参数中是否包含常见的 SQL 注入关键字，如果包含则返回 403 状态码。

四、使用 Nginx 模块进行防护

Nginx 有一些强大的模块可以帮助我们更好地防止 XSS 和 SQL 注入攻击。

1. ModSecurity 模块：ModSecurity 是一个开源的 Web 应用防火墙模块，它可以对 HTTP 请求进行实时监测和过滤。安装 ModSecurity 模块后，需要进行相应的配置。首先，下载并安装 ModSecurity：

wget https://github.com/SpiderLabs/ModSecurity/releases/download/v3.0.4/modsecurity-v3.0.4.tar.gz
tar -zxvf modsecurity-v3.0.4.tar.gz
cd modsecurity-v3.0.4
./configure
make
make install

然后，在 Nginx 配置文件中加载 ModSecurity 模块：

load_module /path/to/ngx_http_modsecurity_module.so;

server {
    modsecurity on;
    modsecurity_rules_file /path/to/modsecurity.conf;
    # 其他配置
}

在 “modsecurity.conf” 文件中，可以配置各种规则来防止 XSS 和 SQL 注入攻击。

2. Naxsi 模块：Naxsi 是另一个开源的 Web 应用防火墙模块，它可以通过学习模式和规则集来防止各种 Web 攻击。安装 Naxsi 模块后，需要进行相应的配置。首先，下载并编译 Naxsi 模块：

wget https://github.com/nbs-system/naxsi/archive/refs/tags/1.3.tar.gz
tar -zxvf 1.3.tar.gz
cd naxsi-1.3
./configure --add-module=/path/to/naxsi/naxsi_src
make
make install

然后，在 Nginx 配置文件中启用 Naxsi 模块：

server {
    include /path/to/naxsi_core.rules;
    SecRulesEnabled;
    CheckRule "$SQL >= 8" BLOCK;
    CheckRule "$XSS >= 8" BLOCK;
    # 其他配置
}

这里的 “$SQL” 和 “$XSS” 是 Naxsi 预定义的规则，当检测到 SQL 注入或 XSS 攻击时，会阻止请求。

五、日志记录和监控

除了上述的防护措施，日志记录和监控也是非常重要的。

1. 日志记录：在 Nginx 配置文件中配置详细的日志记录，以便在发生攻击时能够及时发现和分析。可以在 “server” 块中添加以下代码：

access_log /var/log/nginx/access.log combined;
error_log /var/log/nginx/error.log;

这样，Nginx 会将访问日志和错误日志记录到指定的文件中。

2. 监控：可以使用监控工具，如 ELK Stack（Elasticsearch、Logstash、Kibana）来对 Nginx 日志进行实时监控和分析。Logstash 可以收集 Nginx 日志，Elasticsearch 可以存储和索引日志数据，Kibana 可以提供可视化的界面来查看和分析日志。通过监控日志，可以及时发现异常的请求，如频繁的包含恶意关键字的请求，从而采取相应的措施。

六、定期更新和维护

网络攻击技术不断发展，因此需要定期更新 Nginx 及其相关模块，以确保防护策略的有效性。同时，还需要定期审查和更新防护规则，如正则表达式、ModSecurity 规则集等，以适应新的攻击方式。

另外，建议定期进行安全漏洞扫描，使用专业的安全扫描工具对网站进行全面的扫描，及时发现和修复潜在的安全漏洞。

综上所述，通过 Nginx 的基本配置、正则表达式过滤、使用防护模块、日志记录和监控以及定期更新和维护等组合防护策略，可以有效地防止 XSS 和 SQL 注入攻击，保障网站的安全稳定运行。在实际应用中，需要根据网站的具体情况和安全需求，灵活调整和优化防护策略。