Nginx配置origin限制跨域请求

最新推荐文章于 2024-04-08 08:42:41 发布
最新推荐文章于 2024-04-08 08:42:41 发布
阅读量657 收藏 2
点赞数 1
文章标签: nginx java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cyufeng/article/details/131391538
版权

按照等保要求,跨域的不安全性,需要修复。

在这里插入图片描述
这个需要根据客户端传递的请求头中的Origin值,进行安全的跨站策略配置,目的是对非法的origin直接返回403错误页面

漏洞复现

复现方式为在 Header 中指定 Origin 请求头,看是否可以请求成功。
能够请求成功,说明未对请求头进行控制,有漏洞。

curl -H 'Origin:http://test.com' http://192.168.15.32:80

修复办法

在http中定义一个通过map指令,定义跨域规则并返回是否合法

http {
    ...
    // 再白名单里边返回0,不在返回1
    map $http_origin $allow_cors {
        default 1;
        "~^https?://.*?\.tripwolf\.com.*$" 1;
        "~^(https?://(dmp.finerice.cn)?)$" 1;
        "~*" 0;
    }
    server {
        # 指定允许其他域名访问        
        add_header Access-Control-Allow-Origin $http_origin;
        # 允许的请求类型
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        # 许的请求头字段
        add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";

        location / {
            # 进行请求拦截
            if ($allow_cors = 0){
                return 403;
            }
            root /mnt/data;
        }
    }
}

验证方法

通过POSTMAN进行请求模拟,配置不同的Origin,查看返回结果。
在这里插入图片描述
如果不需要跨域,则直接清理掉add_header Access-Control-Allow-Origin等相关配置,就不这么复杂了。

Cyufeng
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
主要给大家介绍了关于Nginx配置跨域请求Access-Control-Allow-Origin * 的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
nginx 配置跨域失效修复的方法示例
01-20
nginx 配置跨域不生效 如下配置 server { listen 80; server_name localhost; # 接口转发 location /api/ { # 允许请求地址跨域 * 做为通配符 add_header 'Access-Control-Allow-Origin' '*'; # 设置请求...
nginx禁止跨域
weixin_46041804的博客
12-23 6962
ngin禁止跨域
nginx禁止跨域,防范cors攻击
dl425134845的专栏
07-05 1779
参考了这篇文章default 1;"~^(http?)$" 1;"~^(http?)$" 1;"~*" 0;server {listen 81;server {return 403;
nginx代理解决跨域问题_nginx 跨域解决,研发4面真题解析(Linux运维岗)
最新发布
m0_54926105的博客
04-08 1019
跨域(Cross-Origin)是指在 Web 开发中,一个网页的运行脚本试图访问另一个网页的资源时,这两个网页的域名、协议或端口号任何一个不同,就被称为跨域跨域是由浏览器的同源策略(Same-Origin Policy)所限制的。同源策略是一种安全机制,它防止一个网页的脚本去读取另一个不同域名的网页内容。同源策略要求两个网页的协议、主机和端口号必须完全相同,否则就会出现跨域问题。简单来说,同源策略要求不同域名的网页之间不能相互访问对方的资源。
Nginx禁止跨域
SAI的专栏
07-01 2205
全局限制禁止除了192.168.90.32外其他域名进行访问。
nginx php 跨域访问权限,Nginx如何禁止跨域访问某个PHP文件?
weixin_36443823的博客
03-21 140
看下了文档,写了几行代码解决了,暂时用这个解决方法,如有更好的,也欢迎留言。下面贴出代码location ~ \.php$ {#新增代码 start# 假设 ajax.php 文件路径是 /includes/ajax.php 和网站域名是 www.a.com# 新增一个变量 $nolocal 值为1,也就是真set $nolocal 1;#下面开始判断,不是 POST 或者请求路径不是 ajax....
Nginx配置origin限制跨域请求(应对等保)
热门推荐
qq_20236937的博客
01-11 1万+
Nginx配置origin限制跨域请求(应对等保)
Nginx跨域配置.zip
01-21
在处理跨域问题时,Nginx扮演着至关重要的角色,因为浏览器的同源策略限制JavaScript从一个源访问另一个源的资源。本资源包主要涵盖了在Linux环境下安装Nginx以及配置Nginx解决跨域问题的方法。 一、Linux下安装...
Nginx服务器中处理AJAX跨域请求配置方法讲解
01-10
Nginx 实现AJAX跨域请求 AJAX从一个域请求另一个域会有跨域的问题。那么如何在nginx上实现ajax跨域请求呢?要在nginx上启用跨域请求,需要添加add_header Access-Control*指令。如下所示: location /{ add_header ...
Nginx禁止指定UA访问的方法
09-30
主要介绍了Nginx禁止指定UA访问的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nginx实现跨域访问遇到的问题
10-22
什么是最好的跨域实现方式?nginx实现跨域访问遇到的系统环境问题解决方法,踩过的坑分享给大家
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
今天小编就为大家分享一篇关于Nginx跨域设置Access-Control-Allow-Origin无效的解决办法,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
Nginx实现跨域使用字体文件的配置详解
09-30
Nginx作为一款高性能的HTTP和反向代理服务器,可以通过配置来允许跨域请求,使得字体文件可以在不同的域名下正常显示。本文将详细介绍如何在Nginx配置以解决跨域使用字体文件的问题。 首先,我们需要了解问题的...
CORS on Nginx
z69183787的专栏
01-02 925
https://enable-cors.org/server_nginx.html # # Wide-open CORS config for nginx # location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add...
nginxnginx解决跨域详解(新手看,实用,通俗易懂,大神别看,浪费时间)
qq_42044542的博客
03-13 850
本人转载自https://www.cnblogs.com/BoatGina/p/8409549.html 这是我找了好久发现的一个最通俗易懂,也是最有效的跨域方案教学,大家可以参考一下! 使用场景:本地运行一个项目,但是要访问外域的api接口,存在跨域问题,解决方式有很多,但我尝试用nginx解决,搜索了网上文章后再加上尝试终于成功, 其中一些注意事项和大家分享一下。 一.window下使用...
nginx配置
zcd3f的博客
04-06 257
nginx 文件的默认配置文件位置 /usr/local/etc/nginx/nginx.conf 打开 /usr/local/etc/nginx/ 目录可以看到,里面有很多的配置文件,其中有nginx.conf和conf.d/default.conf 配置文件架构 // nginx全局块 ... // events块 events { ... } // http 块 http { // http全局块 ... // server块 server {
nginx配置忽略跨域请求
09-09
配置Nginx以忽略跨域请求,你可以通过以下步骤进行设置: 1. 打开Nginx配置文件,通常位于/etc/nginx/nginx.conf。 2. 在http块中添加一个变量$allow_cors来控制是否允许跨域请求。默认情况下,将该变量设置为1,表示允许跨域请求。 3. 添加一个server块来监听特定的端口(例如8180)。 4. 在server块内添加一个if语句来检查$allow_cors变量的值。如果$allow_cors等于0,则返回403禁止访问。 5. 配置location指令来指定需要处理的路径。你可以使用正则表达式来匹配路径,如"/index"和"/accusation"。 6. 在location块内使用proxy_pass指令将请求转发给后端服务。 7. 保存和关闭配置文件。 8. 重新启动Nginx服务,使配置生效。 以下是一个示例配置: ```nginx worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; map $http_origin $allow_cors { default 1; "~^(https?://(localhost)(:[0-9])?)$" 1; "~*" 0; } server { listen 8180; if ($allow_cors = 0) { return 403; } location / { root html; index index.html index.htm; } location /index { proxy_pass http://localhost:8080/accusation; } location /accusation { proxy_pass http://localhost:8080/accusation; } } } ``` 另外,你还可以使用正则表达式来匹配指定的路径并禁止跨域请求。下面是一个示例配置: ```nginx worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; map $http_origin $allow_cors { default 1; "~^(https?://(localhost)(:[0-9])?)$" 1; "~*" 0; } server { listen 8180; if ($request_uri ~ ^accu.*$) { set $allow_cors "2$allow_cors"; } if ($allow_cors = "21") { return 403; } location / { root html; index index.html index.htm; } location /index { proxy_pass http://localhost:8080/accusation; } location /accusation { proxy_pass http://localhost:8080/accusation; } } } ``` 这样配置后,Nginx将忽略跨域请求,并只允许特定的请求通过。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cyufeng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值