[抛砖引玉]大家记得做好防注入啊

放假回来突然发现后台登录不上了，把文件拉下来，跟本地源码一对比，发现很多地方被篡改了

都被篡改插入了这样的一行，js代码被混淆加密了看不懂，估计是什么恶意代码

得赶紧修复了，大家也可以检查一下，php设置把敏感的eval、phpinfo等方法禁用掉

另外查了下，调整nginx配置可以降低被挂马的影响，这里分享下我的配置

    add_header Content-Security-Policy "default-src 'self' https://sample.com https://www.kyxscms.com 'unsafe-inline' 'unsafe-eval' blob: data: ;";
    add_header X-Xss-Protection "1;mode=block";
    add_header X-Content-Type-Options nosniff;
    add_header X-Frame-Options 'ALLOW-FROM https://sample.com https://www.kyxscms.com ';
    add_header Referrer-Policy "same-origin";
    add_header Set-Cookie "Path=/; HttpOnly; Secure";

放到配置的server区域内，其中 sample.com替换成你自己的域名，增加kyxscms.com是因为联盟跟自动更新要调用官方资源，如果要增加其他不限制的域名，在空格后追加即可