Web应用防火墙配置，几行规则挡住常见攻击

没有WAF的网站就像不锁门的房子。Nginx配合简单规则就能挡住大多数常见攻击。

拦截SQL注入

在http块中配置：if ($query_string ~* 'union.*select|select.*from|insert.*into|delete.*from') { return 403; }。这条规则拦截包含SQL关键词的URL请求。更严格的做法是拦截所有包含单引号、双引号、分号的请求参数。

防止恶意爬虫

根据User-Agent识别恶意爬虫：if ($http_user_agent ~* (curl|wget|python-requests|scrapy) ) { return 403; }。注意误伤合法的API客户端，可以加上白名单：白名单IP来源的请求不拦截。

限制请求频率

limit_req_zone $binary_remote_addr zone=login:10m rate=5r/s限制登录接口每秒最多5次请求。CC攻击会在短时间内发送大量请求，限频配置能有效缓解。