維運專案安全模式- FineOps繁体帮助文档

最後修改時間：2025-11-26

1. 概述

1.1 版本

維運平台版本	功能變更
V2.27.0	-

1.2 應用場景

國企、銀行等客戶，對專案安全要求較高，需要對專案開啟防護機制。

維運平台提供組件級配置「安全模式」，限制外部存取並消除資料殘留風險，確定系統僅對授權網段開放，且敏感操作痕跡自動清理，進而透過安全掃描並降低攻擊面。

2. 開啟安全模式

1）管理者登入維運平台，選擇專案，點選「維護>組件管理」。

2）支援為專案的這些組件容器開啟「安全模式」：nginx、minio、bi-minio

3）彈窗提醒「開啟安全模式後將自動修改組件相關配置」，點選「確定」，系統自動調整安全相關配置，開啟成功。

4）在專案管理介面，如果專案中存在開啟了「安全模式」的容器，專案名稱後將出現安全標籤。

關閉安全模式的操作與開啟相同，再次點選對應組件容器的「安全模式」按鈕即可。

3. 安全模式影響說明

3.1 nginx

開啟安全模式後：專案外掛目錄/fanruanxxx/nginx/conf/safe中自動建立 safe.conf 檔案，該檔案將作為自訂配置檔案載入到 Nginx 主配置中。
關閉安全模式後：safe.conf 檔案被自動刪除，相關配置自動消失。

預設配置

safe.conf 檔案包含以下安全回應頭設定，所有經過該 Nginx 容器轉發的組件回應都將攜帶這些安全頭：

add_header Referrer-Policy "same-origin" always;

add_header X-Permitted-Cross-Domain-Policies "none";

add_header Content-Security-Policy "object-src 'self'";

add_header X-Download-Options "noopen";

add_header X-Content-Type-Options "nosniff";

add_header X-XSS-Protection "1; mode=block";

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

add_header Cache-Control "no-cache";

add_header Pragma "no-cache";

add_header Expires "Thu, 01 Jan 1970 00:00:00 GMT";

自訂配置

管理者可透過編輯/fanruanxxx/nginx/conf/safe/safe.conf檔案，自訂修改請求頭的配置值。

header

說明

Referrer-Policy

作用：

控制瀏覽器在跨域請求時傳送的Referer資訊，防止敏感URL參數公佈，避免跨站請求僞造（CSRF）攻擊

支援值說明：（預設值same-origin）

值	說明
no-referrer	完全不傳送 Referer 頭
no-referrer-when-downgrade	HTTPS→HTTPS 傳送完整 URL，HTTPS→HTTP 不傳送
same-origin	同源時傳送完整 URL，跨域時不傳送
origin	只傳送協定+主機+埠，不傳送路徑和查詢參數
strict-origin	同 origin，但 HTTPS→HTTP 時不傳送
origin-when-cross-origin	同源傳送完整 URL，跨域只傳送 origin
strict-origin-when-cross-origin	同源傳送完整 URL，跨域 HTTPS→HTTPS 傳送 origin，HTTPS→HTTP 不傳送
unsafe-url	總是傳送完整 URL（即使從 HTTPS 到HTTP）

X-Permitted-Cross-Domain-Policies

作用：

限制不同域名間的資源存取權限，可有效降低跨域攻擊風險

支援值說明：（預設值none）

值	說明
none	不允許任何跨域策略檔案（最安全）
master-only	只允許主策略檔案（/crossdomain.xml）
by-content-type	只允許 Content-Type 為text/x-cross-domain-policy 的策略檔案
by-ftp-filename	只允許檔案名稱為 crossdomain.xml 的策略檔案（FTP 場景）
all	允許所有策略檔案（最不安全）

Content-Security-Policy

作用：

內容安全策略，透過資源載入白名單策略保障網頁安全，防禦XSS攻擊和資料注入威脅

支援值說明：（預設值object-src 'self'）

該請求頭的值由指令和指令值組成，支援為不同指令設定值。

例如：add_header Content-Security-Policy "default-src 'self'; object-src 'none'";

本文僅列出常見的指令和指令值，更多內容請自行百度學習。

	說明
指令
default-src‌	所有資源的預設來源（如未單獨設定，則繼承此規則）‌
‌script-src‌	控制 JavaScript 的來源
‌style-src‌	控制 CSS 的來源
‌img-src‌	控制圖片的來源
‌connect-src‌	控制AJAX、WebSocket等網路請求的目標‌
font-src	控制字體的來源
object-src	控制<object>, <embed>, <applet>標籤
‌frame-src‌	控制<iframe>嵌入來源‌
report-uri	設定違規報表傳送地址，用於監視策略執行情況‌
指令值
'self'	只允許同源資源
'none'	禁止任何資源
'unsafe-inline'	允許行內腳本/樣式（降低安全性）
'unsafe-eval'	允許使用eval()等動態執行程式碼（降低安全性）

X-Download-Options

作用：

禁止瀏覽器自動開啟下載檔案，防範IE瀏覽器的檔案預覽執行風險

支援值說明：（預設值noopen）

noopen：唯一有效值，禁止自動開啟下載檔案

X-Content-Type-Options

作用：

禁止瀏覽器 MIME 嗅探，確定瀏覽器遵循伺服器提供的MIME類型，提高安全性和一致

支援值說明：（預設值nosniff）

nosniff：唯一有效值，禁止 MIME 嗅探

X-XSS-Protection

作用：

控制瀏覽器XSS過濾機制，透過檢查回應中的惡意腳本阻止頁面載入

支援值說明：（預設值1; mode=block）

值	說明
0	禁用過濾
1	啟動過濾
1; mode=block	啟動過濾並阻止整個頁面渲染
1; report=<uri>	僅支援 Chrome 瀏覽器：啟動過濾併傳送違規報表

Strict-Transport-Security

作用：

強制瀏覽器使用 HTTPS 連結，防止 SSL 剝離攻擊

完整文法：max-age=<seconds>; includeSubDomains; preload

預設值：max-age=31536000; includeSubDomains

max-age：HSTS 有效期（秒），建議≥31536000（1 年）
includeSubDomains：應用於所有子域名
preload：申請加入瀏覽器 HSTS 預載入列表

Cache-Control

作用：

指定請求和回應遵循的快取機制

支援值說明：（預設值no-cache）

值	說明
no-store	禁止任何快取
no-cache	可快取但必須重新驗證
must-revalidate	過期後必須重新驗證
max-age=<seconds>	快取有效期
public	允許共享快取
private	僅允許瀏覽器快取

Pragma

作用：

控制HTTP快取機制

支援值說明：（預設值no-cache）

no-cache：唯一常用值，效果類似 Cache-Control: no-cache

Expires

作用：

指定資源的過期時間

預設值：Thu, 01 Jan 1970 00:00:00 GMT

3.2 minio和bi-minio

MINIO_BROWSER=off，是用於禁用MinIO自帶的Web控制台，可減少外部存取風險，最小化曝光服務埠。

開啟minio或bi-minio容器的安全模式後：容器新增環境變數MINIO_BROWSER=off，無法存取MinIO自帶的Web控制台

關閉minio或bi-minio容器的安全模式後：容器自動移除環境變數MINIO_BROWSER=off，可以存取MinIO自帶的Web控制台

已經是第一篇

已經是最後一篇

有幫助
沒幫助
只是瀏覽

中文（简体） English

繁體

維運專案安全模式

1. 概述

1.1 版本

1.2 應用場景

2. 開啟安全模式

3. 安全模式影響說明

3.1 nginx

3.2 minio和bi-minio

附件列表