安全环境变量#
基于文件的配置
您可以在单个变量后添加 _FILE 以在单独的文件中提供其配置。有关更多详细信息,请参阅在单独文件中保存敏感数据。
| 变量 | 类型 | 默认值 | 描述 |
|---|---|---|---|
N8N_BLOCK_ENV_ACCESS_IN_NODE |
Boolean | false |
是否允许用户在表达式和 Code 节点中访问环境变量:false 为允许,true 为不允许。 |
N8N_BLOCK_FILE_ACCESS_TO_N8N_FILES |
Boolean | true |
设为 true 可阻止访问 .n8n 目录中的所有文件以及用户自定义配置文件。 |
N8N_ENFORCE_SETTINGS_FILE_PERMISSIONS |
Boolean | false |
设为 true 时,会尝试将设置文件权限设为 0600,仅允许所有者读写。 |
N8N_RESTRICT_FILE_ACCESS_TO |
String | 限制对这些目录中文件的访问。多个目录请使用分号(";")分隔。 |
|
N8N_SECURITY_AUDIT_DAYS_ABANDONED_WORKFLOW |
Number | 90 | 如果某个工作流一直未执行,多少天后将其视为废弃。 |
N8N_CONTENT_SECURITY_POLICY |
String | {} |
以 helmet.js 嵌套指令对象的形式设置 Content-Security-Policy 响应头。例如:{ "frame-ancestors": ["http://localhost:3000"] } |
N8N_SECURE_COOKIE |
Boolean | true |
确保 cookie 仅通过 HTTPS 发送,以增强安全性。 |
N8N_SAMESITE_COOKIE |
Enum string: strict, lax, none |
lax |
控制跨站 cookie 行为(了解更多):
|
N8N_GIT_NODE_DISABLE_BARE_REPOS |
Boolean | false |
设为 true 可阻止 Git 节点 处理裸仓库,从而增强安全性。 |
N8N_GIT_NODE_ENABLE_HOOKS |
Boolean | false |
设为 true 可允许 Git 节点 执行 Git hooks。 |
使用环境变量管理安全策略#
将 N8N_SECURITY_POLICY_MANAGED_BY_ENV 设为 true 后,即可通过环境变量管理安全策略。关于激活模式的工作方式,请参阅使用环境变量管理实例设置。
| 变量 | 类型 | 默认值 | 说明 |
|---|---|---|---|
N8N_SECURITY_POLICY_MANAGED_BY_ENV |
Boolean | false |
设为 true 后,可通过环境变量管理安全策略。启用后,n8n 会在每次启动时应用安全策略相关变量,并锁定对应的 UI 控件。 |
N8N_MFA_ENFORCED_ENABLED |
Boolean | false |
是否对所有用户强制启用双因素认证:true 为强制,false 为不强制。 |
N8N_PERSONAL_SPACE_PUBLISHING_ENABLED |
Boolean | true |
用户是否可以从其个人空间发布工作流:true 为允许,false 为不允许。 |
N8N_PERSONAL_SPACE_SHARING_ENABLED |
Boolean | true |
用户是否可以从其个人空间共享资源:true 为允许,false 为不允许。 |