Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

于 2024-04-16 16:58:03 发布
阅读量344 收藏 7
点赞数 5
分类专栏: 程序员 文章标签: nginx xss chrome
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83915812/article/details/137831779
版权

X-Content-Security-Policy响应头

===================================================================================================

W3C 的 Content Security Policy,简称 CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少 XSS 的发生。

Chrome 扩展已经引入了 CSP,通过 manifest.json 中的 content_security_policy 字段来定义。一些现代浏览器也支持通过响应头来定义 CSP。下面我们主要介绍如何通过响应头来使用 CSP,Chrome 扩展中 CSP 的使用可以参考 Chrome 官方文档。

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。

除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。

Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。

浏览器兼容性

=============================================================================

早期的 Chrome 是通过 X-WebKit-CSP 响应头来支持 CSP 的,而 firefox 和 IE 则支持 X-Content-Security-Policy,

Chrome25 和 Firefox23 开始支持标准的 Content-Security-Policy

如何使用

===========================================================================

要使用 CSP,只需要服务端输出类似这样的响应头就行了:

Content-Security-Policy: default-src ‘self’

default-src 是 CSP 指令,多个指令之间用英文分号分割;‘self’ 是指令值,多个指令值用英文空格分割。目前,有这些 CSP 指令:

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

从上面的介绍可以看到,CSP 协议可以控制的内容非常多。而且如果不特别指定 ‘unsafe-inline’ 时,页面上所有 inline 样式和脚本都不会执行;不特别指定 ‘unsafe-eval’,页面上不允许使用 new Function,setTimeout,eval 等方式执行动态代码。在限制了页面资源来源之后,被 XSS 的风险确实小不少。

当然,仅仅依靠 CSP 来防范 XSS 是远远不够的,不支持全部浏览器是它的硬伤。不过,鉴于低廉的开发成本,加上也没什么坏处。

StrictTransportSecurity响应头

======

最低0.47元/天 解锁文章
2401_83915812
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx常见漏洞处理
a630192144的博客
08-25 2978
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
项目或者nginx配置中怎么预防XSS攻击
最新发布
keyboard专栏
04-24 987
预防跨站脚本攻击XSS)是网络应用安全的关键部分。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常是通过注入恶意的HTML或JavaScript代码到用户页面上。防止XSS需要在应用程序开发和服务器配置两方面同时进行防护。
xss过滤
hit、run
11-30 1465
private String xssEncode(String value) { if (value == null || value.isEmpty()) { return value; } value = value.replaceAll("eval\\((.*)\\)", ""); ...
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
ideal-lingyun
09-24 850
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
Nginx防止跨站脚本 Cross-site scripting (XSS)
JesJiang的博客
09-25 3094
nginx.conf中配置 add_header X-XSS-Protection "1; mode=block"; X-XSS-Protection 的字段有三个可选配置值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode...
Nginx防止流量攻击配置详解
09-30
本文将详细解析如何配置Nginx防止流量攻击,主要包括限制请求速率、控制并发连接数以及自定义错误页面。 首先,我们要理解Nginx防止流量攻击的核心机制,即限流。限流可以通过Nginx的`limit_req`模块实现,它可以...
关闭nginx空主机 防止nginx空主机恶意域名指向
01-10
nginx的默认配置中的虚拟主机允许用户通过IP访问,或者通过未设置的域名访问(比如有人恶意把他自己的域名指向了你的ip) 这是因为默认配置中的server区域里有这一行: listen 80 default; 后面的default参数表示这...
Nginx防止SQL注入攻击的相关配置介绍
09-30
Nginx防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
Nginx防御DDOS攻击配置方法教程
09-30
本文将详细介绍如何通过Nginx配置来防御DDoS攻击。 首先,DDoS攻击分为四层流量攻击和七层应用攻击。四层攻击主要针对网络层的带宽,而七层攻击则针对应用程序的处理能力。Nginx作为应用服务器,主要关注七层防御...
Nginx配置各种响应防止XSS,点击劫持frame恶意攻击(1)
JavaEE菜鸟
07-14 822
Nginx配置各种响应防止XSS,点击劫持frame恶意攻击(1)_普通网友的博客-CSDN博客_nginxxss攻击
关于nginx配置防止xss攻击的记录
蓝色的天空的博客
04-03 6111
server { ...... //以下两种方式未生效 add_header Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-XSS-Protection "1; mode=block"; location / { ......
点击劫持:CSP frame-ancestors 缺失
ylldzz的博客
06-06 3322
Content Security Policy是一种网页安全策略,现代浏览器使用它来增强网页的安全性。
Nginx配置各种响应防止XSS,点击劫持frame恶意攻击,Java集合类中绝对占有一席之地的List
2401_84002542的博客
04-01 1150
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。最后针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题。
html请求接口_XML接口下POST型反射XSS的攻防探究
weixin_39974409的博客
11-24 257
一、一处“鸡肋”的反射XSS 上月,遇到一处有趣的XML接口,使用POST方式发送如下请求时:POST /query HTTP/1.1 Host: api.demo.com Content-Type: application/xml <xml><vulnerable>2019&lt;ScRiPt&gt;alert(1)&lt;/ScRiPt&a...
保护网页免受点击劫持的Content Security Policy(CSP)
weixin_42560424的博客
06-27 525
84. 保护网页免受点击劫持的Content Security Policy(CSP) 什么是点击劫持点击劫持(Clickjacking)是一种网络安全攻击技术,通过在一个网页上放置透明的或误导性的内容,诱使用户在不知情的情况下点击恶意操作。这种攻击技术可以欺骗用户并执行他们不想执行的操作,如点击隐藏的按钮或链接,可能导致敏感信息泄露、支付信息被篡改等风险。 Content Security Policy(CSP)的作用 Content Security Policy(CSP)是一种用于增强网页安全性的
Nginx+Naxsi(web防火墙)防止XSS和SQL注入攻击的解决方案
07-24 2035
Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙(Web Application Firewall)模块。Naxsi的主要目标是加固web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。 1、下载并解压nginx及naxsi文件 # cd /usr/local/src/ # wget http://nginx.org/download/ng...
nginx实现CSRF和XSS防御
热门推荐
xiaomin的博客
01-31 2万+
版权声明:本文为博主原创文章,未经博主允许不得转载。 nginx实现CSRF和XSS防御  最近,因为公司任务要求,搞了一下nginx配置。任务要求是实现CSRF和XSS防护,至于什么是CSRF和XSS请自行学习一下。首先需要解释的是,这里所提到的CSRF和XSS防御全是基于后台基于Nginx配置。 1.CSRF防御 网上搜一下解决方案大概是有四种: (1)验证H
nginx配置http响应的具体步骤
03-21
配置nginx的http响应可以通过修改nginx配置文件来实现。具体步骤如下: 1. 打开nginx配置文件,一般位于`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf/nginx.conf`。 2. 在`http`块中添加或修改`server_tokens`指令,用于控制nginx返回的服务器版本信息。可以设置为`off`来隐藏服务器版本信息,例如:`server_tokens off;`。 3. 在`http`块中添加或修改`add_header`指令,用于添加自定义的响应。语法为:`add_header header_name header_value [always];`,其中`header_name`为要添加的响应名称,`header_value`为要添加的响应的值,可选的`always`参数表示无论响应状态码是什么都添加该响应。例如:`add_header X-Custom-Header "Custom Value";`。 4. 保存配置文件并重新加载nginx配置,可以使用命令`nginx -s reload`或者`service nginx reload`。 注意:以上步骤是基本的配置方法,具体的配置可能会因为nginx版本和需求而有所不同。在修改配置文件之前,建议备份原始配置文件以防止配置错误导致的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值