Я указал следующее в http-блоке /etc/nginx/nginx.conf:
add_header X-Content-Type-Options nosniff always;
add_header X-Frame-Options SAMEORIGIN always;
add_header X-XSS-Protection "1; mode=block" always;
Но теперь заголовки добавляются только по HTTP-запросам, не на HTTPS.
Кто-нибудь знает, как изменить этот без записи в каждый файл конфигурации?
Эти директивы наследуются от предыдущего уровня тогда и только тогда, когда на текущем уровне нет директив add_header.
Лучшее решение - поместить общие операторы в отдельный файл и использовать оператор include
.
Вы можете использовать include
на уровне блока http
, а затем повторить его во всех блоках, которым требуются дополнительные операторы add_header
.