【nginx】转发配置、漏洞整改

于 2024-09-12 13:31:48 发布
阅读量494 收藏 6
点赞数 8
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Beam007/article/details/142145053
版权

转发配置

常见的接口调用配置:

location /com_api/ {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $http_host;
    proxy_pass http://后端服务IP:后端服务端口号/;
}

若转发调不通时(常出现在调用第三方系统时),考虑去掉头消息的配置。

location /weather_api/ {
    #proxy_set_header X-Real-IP $remote_addr;
    #proxy_set_header Host $http_host;
    proxy_pass http://wthrcdn.etouch.cn/;
}

若是本地开发的代理配置,则需要加上changeOrigin: true。

'/weather_api/': {
  target: 'http://wthrcdn.etouch.cn',
  changeOrigin: true,
  pathRewrite: {
    '^/weather_api/': ''
  }
},

这里有个遗留的问题:
如果weather_api在nginx没有配置,代码中调用了接口,但是不报错404。
然而如果本地开发的时候没配置代理,代码中调用接口时就会报错404。
为啥只要通过nginx转发就不报错呢?但是其他的接口nginx不配置也会404呀?

漏洞扫描安全评估整改

1、nginx版本升级版本大于1.23.2

因为我们使用docker部署的,只需修改docker-compose.yml文件:

version: "3.7"
services:
  base-nginx:
    restart: always
    image: nginx:1.24.0
    container_name: base-nginx
    ……

修改镜像的版本号image: nginx:1.24.0,重启服务即可。
若出现docker报错:ERROR: missing signature key,可能是Docker version 17.12.1-ce版本太低了不支持,考虑升级到image: nginx:1.22.1。

2、修改nginx配置

在http下添加:

server_tokens off;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection  "1; mode=block";
add_header X-Content-Type-Options nosniff;

需要注意的是,如果项目用到了iframe,不能配置add_header X-Frame-Options DENY;

  • add_header X-Frame-Options ALLOWALL; #允许所有域名iframe
  • add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名
  • add_header X-Frame-Options SANEORIGIN; #允许相同域名iframe,如a.test.com允许b.test.com
  • add_header X-Frame-Options ALLOW-FROM uri; #允许指定域名iframe,
    所以看着来配置吧,我们是直接去掉了。

3、参考文档

https://blog.csdn.net/weiweiyixiaohhl/article/details/132795873
https://blog.csdn.net/qq_23934063/article/details/121076732
https://blog.csdn.net/jane_xing/article/details/119564046

另外pdf.js存在CVE-2024-4367漏洞

pdfjs存在CVE-2024-4367漏洞,可被执行任意js代码。
需要进行安全性升级:修复建议,将PDF.js 更新到版本 4.2.67 或更高版本。

1、在npm官网找到对应包

https://www.npmjs.com/package/pdfjs-dist
使用npm install 命令下载以后使用方式不对呀,找不到html文件。

2、pdfjs官网找包

看到右侧的Homepage:mozilla.github.io/pdf.js/
于是去官网下载了稳定版本,好像就可以了,使用方法保持和原来的一致。
如果还是不行并且报错如下图所示:
在这里插入图片描述
因为浏览器版本太低了!!!
找了半天原因,直到看到这个:
https://github.com/mozilla/pdf.js?tab=readme-ov-file#online-demo
我的浏览器属于Older browsers,才能打开;然而Modern browsers的示例,我打开报错。
晕死,还以为是接口请求的问题,先请求到接口再window.open各种都尝试了都不行。

3、部署后报错

本地正常了,然后部署到现场发现报错:
Failed to load module script: Expected a JavaScript module script but the server responded
百度后发现,在nginx配置的server下加上如下语句就好了:

include mime.types;
types
{
  application/javascript mjs;
}

参考文章:https://blog.csdn.net/ken_coding/article/details/136761141
但是,后面发现文件能打开了,控制台继续报错:

api.js:2149 Refused to create a worker from '***/static/pdfjs/build/pdf.worker.mjs' because it violates the following Content Security Policy directive: "worker-src blob:".

说明,nginx配置了安全策略,查看nginx配置文件,确实有如下语句:

add_header Content-Security-Policy "style-src 'self' 'unsafe-inline' http://at.alicdn.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://pv.sohu.com https://*.amap.com; worker-src blob:";

但是一个环境报错,一个环境不报错,对比了nginx的配置差异。
不报错的环境,在location / {和location ~*\.(js|css|png|jpg|jpeg|gif|ico)$ {下配置了允许跨域的语句,如下语句:

add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

加上之后果然就不报错了。

Beam007
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx转发WebSocket接口配置方式
02-27
Nginx转发WebSocket接口的配置主要涉及以下几个关键点: 1. **启用HTTP升级头**:WebSocket连接始于一个HTTP请求,通过`Upgrade`和`Connection`头字段来表明客户端想要升级到WebSocket协议。在Nginx配置中,我们...
Nginx转发socket端口配置详解
09-29
首先,我们需要理解Nginx转发socket端口的基本配置。在Nginx配置文件中,可以通过`location`指令定义一个特定的URL路径,将所有匹配该路径的请求转发到后端服务器。例如,对于聊天功能,我们可以设置 `/chat/` 作为...
nginx转发配置参考
02-17
nginx转发配置参考,nginx转发,Windows下开机自启动,将Nginx转换为Windows服务,这样就可以在开机时自动启动Nginx了。
nginx转发sftp、ftp的配置
04-08
### Nginx 转发 SFTP 和 FTP 的配置详解 #### 一、引言 在互联网技术领域中,Nginx(发音为 “engine X”)是一款高性能的HTTP和反向代理服务器,同时它也支持邮件代理服务。随着版本的不断更新与优化,Nginx 在...
nginx如何配置代理转发
09-19
2. **代理转发配置**: - 使用`location`指令来定义代理转发规则。例如,要将所有请求`/api/*`转发到本地的9000端口,可以在`server`块中添加以下配置: ``` location /api/ { proxy_pass http://localhost:9000...
nginx配置tcp转发(nginx通过白名单访问)
05-21
配置Nginx进行TCP代理转发,我们需要创建一个新的Nginx配置文件,通常放在`/etc/nginx/conf.d/`目录下,例如命名为`tcp_proxy.conf`。在该文件中,我们需要使用`stream`模块来处理TCP流量。下面是一个基础的配置...
nginx支持tcp转发配置分享
09-30
**Nginx TCP转发配置详解** Nginx,作为一个高性能的HTTP和反向代理服务器,同时也支持TCP和UDP协议的转发。在某些场景下,如负载均衡、安全防护或者服务代理,我们可能需要Nginx将接收到的TCP流量转发到其他服务器...
Nginx服务器中配置非80端口的端口转发方法详解
09-30
Nginx服务器中,配置非80端口的端口转发是一项常见的需求,尤其在多应用部署或者安全策略要求的情况下。Nginx作为一个高性能的HTTP和反向代理服务器,其强大的灵活性使得我们可以轻松地调整服务器的行为。本文将...
通过Nginx代理转发配置实现跨域的方法(API代理转发
09-29
主要给大家介绍了关于如何通过Nginx代理转发配置实现跨域(API代理转发)的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
nginx转发https的配置文件,仅供参考
12-25
nginx转发https的配置文件,仅供参考
详解nginx websocket配置
09-30
配置完成后,Nginx转发所有到达特定路径(如`/`)的WebSocket连接到上游WebSocket服务器。 以下是Nginx配置示例: ```nginx http { map $http_upgrade $connection_upgrade { default upgrade; '' close; } ...
基线扫描漏洞整改参考文档_jchaoy
07-28
本文档主要介绍了nginx、websphere和tomcat三类中间件的基线扫描漏洞整改方法,对于中间件管理员和安全管理员提供了实用的参考指南。 一、Nginx基线扫描漏洞整改方法 1.隐藏Nginx版本信息 为了防止攻击者通过...
nginx配置文件
06-09
标题"nginx配置文件"和描述中提到的问题,就是如何有效地管理这些不同环境的配置,避免混淆。 Nginx配置文件结构允许我们将不同的服务器块和相关设置分散到多个文件中,而不是全部写在一个庞大的`nginx.conf`主...
02nginx动态配置.zip
11-28
**Nginx动态配置详解** 在Web服务器领域,Nginx以其高性能、高并发的特点而备受推崇。"02nginx动态配置.zip"这个压缩包文件提供了关于如何管理和配置Nginx的一些基本操作,旨在帮助用户更好地理解和应用Nginx。下面...
nginx rtmp转发服务器
03-22
在本文中,我们将深入探讨Nginx RTMP的工作原理、安装配置以及如何进行流媒体转发。 1. **RTMP协议基础** 实时传输协议(Real-Time Messaging Protocol)是一种专为音视频数据传输而设计的协议,常用于直播服务。...
nginx-1.10.2_海康;javascript_nginx/1.10.2_nginx转发海康_
09-28
javascript_nginx/1.10.2_nginx转发海康_"表明我们讨论的主题是关于Nginx 1.10.2版本,特别是如何利用它来实现对海康摄像头的实时预览功能,并涉及到JavaScript在其中的作用。海康摄像头是一种广泛应用的安防监控...
Windows平台,Nginx配置文件修改自动加载重启
03-27
在Windows平台上,使用Nginx作为Web服务器时,配置文件的管理和更新是日常运维工作的重要环节。当Nginx配置文件被修改后,通常需要手动执行`nginx -s reload`命令来使改动生效,这在频繁调整配置时可能会显得繁琐...
nginx 转发配置
最新发布
01-18
在Java中使用Nginx进行转发配置可以实现负载均衡和反向代理等功能。下面是一个简单的Java Nginx转发配置示例: 1. 首先,确保你已经安装了Nginx,并且配置文件位于/etc/nginx/nginx.conf。 2. 打开nginx.conf文件,找到http部分,并添加以下配置: ``` http { upstream backend { server 127.0.0.1:8080; // Java应用的地址和端口 server 127.0.0.1:8081; // 可以添加更多的Java应用地址和端口 } server { listen 80; server_name yourdomain.com; // 替换为你的域名 location / { proxy_pass http://backend; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } } ``` 上述配置中,我们使用了`upstream`指令定义了一个名为`backend`的后端服务器组,其中包含了Java应用的地址和端口。然后,在`server`部分,我们监听了80端口,并将请求转发到`backend`后端服务器组中的Java应用。 3. 保存并关闭nginx.conf文件。 4. 重新加载Nginx配置文件,可以使用以下命令: ``` sudo nginx -s reload ``` 这样,当用户访问你的域名时,Nginx会将请求转发到Java应用的地址和端口上。 需要注意的是,上述配置中的Java应用地址和端口需要根据实际情况进行修改,确保与你的Java应用的地址和端口一致。 希望以上信息对你有帮助!如果你有任何疑问,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值