1.禁止目录浏览

2.限制目录执行权限

3.隐藏版本信息

4.限制并发

5.nginx 降权

6.防盗链

7.补丁及时更新

8.特殊要求还可以限制ip

9.用户密码限制等等

1、IETF的QUIC已经有33个草案了，这是RFC规范，所以现在Nginx不太会去支持其他QUIC版本了。目前Nginx的quic分支，是基于最新的RFC 33 draft草案实现的。你可以参考下spdy与HTTP2在Nginx上的实现，那时HTTP2迟迟未推出时，google的spdy广为使用，Nginx推出了spdy模块，所以这其实是个开发效率、成本的权衡问题。

2、拥塞控制由应用层来实现，还是由内核来实现，对于网络安全性来说，这并不是问题。对于网络来说，每一台主机也未必可信。对于Linux来说，内核也是可以去改的。所以，长期来看，拥塞控制不会是问题，个人看法。

3、11.27号在GOPS上海站还会做HTTP3的进一步探讨。