# 服务器策略用于客户端认证。映射到 ClientAuth 策略。
# https://golang.org/pkg/crypto/tls/#ClientAuthType
# 注意:如果你希望启用客户端认证,则需要使用 RequireAndVerifyClientCert。其他值不安全。
[ client_auth_type: <string> | default = "NoClientCert" ]
[ client_ca_file: <filename> ]
# 检查客户端证书是否具有与此列表中的条目完全匹配的 Subject Alternate Name (SAN),否则终止连接。
# SAN 匹配可以是以下之一:DNS、IP、电子邮件或 https://pkg.go.dev/crypto/x509#Certificate 中所述的 URI 地址。
[ min_version: <string> | default = "TLS12" ]
[ max_version: <string> | default = "TLS13" ]
# TLS版本至TLS 1.2支持的加密套件列表。如果为空,则使用 Go 默认加密套件。可用的加密套件在 Go 文档中进行了说明:
# https://golang.org/pkg/crypto/tls/#pkg-constants
# https://pkg.go.dev/crypto/tls#CipherSuites
# prefer_server_cipher_suites 控制服务器是否选择客户端最首选的加密套件或服务器最首选的加密套件。如果为真,则使用服务器的偏好,
# 即 cipher_suites 中元素的顺序。
[ prefer_server_cipher_suites: <boolean> | default = true ]
# 在 ECDHE 握手中使用的椭圆曲线,按优先级排序。可用曲线在 Go 文档中进行了说明:
# https://golang.org/pkg/crypto/tls/#CurveID
# 启用 HTTP/2 支持。注意,HTTP/2 只在 TLS 上支持。
[ http2: <boolean> | default = true ]
# 将 Content-Security-Policy 头设置到 HTTP 响应中。
[ Content-Security-Policy: <string> ]
# 将 X-Frame-Options 头设置到 HTTP 响应中。
# 如果空白则取消设置。接受的值为 deny 和 sameorigin。
# https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
[ X-Frame-Options: <string> ]
# 将 X-Content-Type-Options 头设置到 HTTP 响应中。
# 如果空白则取消设置。接受的值为 nosniff。
# https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options
[ X-Content-Type-Options: <string> ]
# 将 X-XSS-Protection 头设置到所有响应中。
# https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
[ X-XSS-Protection: <string> ]
# 将 Strict-Transport-Security 头设置到 HTTP 响应中。
# 请注意,务必谨慎使用此标头,因为它可能会强制浏览器通过 HTTPS 加载 Prometheus 以及同一域和子域上的其他应用程序。
# https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
[ Strict-Transport-Security: <string> ] ]
# 具有通过基本身份验证访问 Web 服务器的完整权限的用户名和哈希密码。
# 如果为空,则不需要基本身份验证。密码使用 bcrypt 进行哈希处理。
[ <string>: <secret> ... ]