NelmioSecurityBundle 技术文档

1. 安装指南

1.1 使用 Composer 安装

首先，在你的项目中使用 Composer 安装 nelmio/security-bundle 包：

composer require nelmio/security-bundle

1.2 启用 Bundle

如果你使用的是 Symfony Flex，该 Bundle 会自动启用。如果你没有使用 Flex，你需要手动在 config/bundles.php 文件中启用它：

return [
    // 其他 bundles
    Nelmio\SecurityBundle\NelmioSecurityBundle::class => ['all' => true],
];

2. 项目的使用说明

NelmioSecurityBundle 提供了多种安全功能，帮助你增强 Symfony 应用程序的安全性。以下是主要功能的简要说明：

2.1 内容安全策略 (Content Security Policy)

该功能通过设置策略来防止跨站脚本攻击（XSS）。策略会指示浏览器禁止执行内联脚本，并限制加载内容的域。

2.2 签名 Cookie (Signed Cookies)

你可以指定某些 Cookie 进行签名，以防止用户篡改。注意，这些 Cookie 不会被加密，内容仍然对用户可见。

2.3 点击劫持保护 (Clickjacking Protection)

该功能通过添加 X-Frame-Options 头来防止你的站点被嵌入到 iframe 中，从而避免点击劫持攻击。

2.4 外部重定向检测 (External Redirects Detection)

该功能可以检测并防止基于用户输入的重定向到任意 URL，避免用户被误导点击恶意链接。

2.5 强制 HTTPS/SSL 处理 (Forced HTTPS/SSL Handling)

该功能强制所有请求通过 SSL，并发送 HSTS 头，使现代浏览器支持 HTTPS，即使在用户输入非 HTTPS URL 时也能确保安全。

2.6 灵活的 HTTPS/SSL 处理 (Flexible HTTPS/SSL Handling)

如果你不想强制所有用户使用 HTTPS，该功能可以检测已登录用户并将其重定向到安全的 URL，同时保持会话 Cookie 的安全性。

2.7 禁用内容类型嗅探 (Disable Content Type Sniffing)

该功能要求脚本必须使用正确的 MIME 类型加载，禁用浏览器的内容嗅探功能，以防止脚本被错误地执行。

2.8 引用策略 (Referrer Policy)

该功能通过添加 Referrer-Policy 头来控制从你的站点发出的请求中的 Referer 头，以及浏览器导航离开你的站点时的行为。

3. 项目 API 使用文档

NelmioSecurityBundle 的 API 使用文档可以在 Symfony 官方文档中找到。以下是一些常用的 API 配置示例：

3.1 配置内容安全策略

nelmio_security:
    content_security_policy:
        report_only: false
        script_src: [self]
        style_src: [self]

3.2 配置签名 Cookie

nelmio_security:
    signed_cookie:
        names: ['my_cookie']

3.3 配置点击劫持保护

nelmio_security:
    clickjacking:
        paths:
            '^/admin': DENY
            '^/': ALLOW-FROM https://example.com

4. 项目安装方式

NelmioSecurityBundle 的安装方式非常简单，只需通过 Composer 安装并启用即可。详细的安装步骤已在“安装指南”部分进行了说明。

---

通过以上文档，你应该能够顺利安装和使用 NelmioSecurityBundle，并了解其主要功能和配置方法。