nginx配置CSP策略和Nonce随机数方案

最新推荐文章于 2024-07-26 20:08:55 发布
最新推荐文章于 2024-07-26 20:08:55 发布
阅读量2.7k 收藏
点赞数
分类专栏: nginx 文章标签: csp nonce
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chy2z/article/details/115472791
版权
本文介绍了如何利用Content-Security-Policy(CSP)HTTP头部来增强网站的安全性,防止XSS攻击。通过设置CSP策略,只允许执行特定来源的脚本,并详细阐述了nonce(随机数)的使用方法,确保内联JS的安全执行。同时,提供了通过nginx内置常量生成nonce,并在请求转发到tomcat时设置CSP策略,以及在tomcat页面中动态获取并使用nonce的方案。
摘要由CSDN通过智能技术生成

CSP(Content-Security-Policy)

Content-Security-Policy 的 HTTP Header 可以指示浏览器只信任指定白名单的JS源。即使通过XSS攻击注入了恶意的脚本文件,浏览器也不会执行。

CSP配置例子

location ~ ^/test/(.*)$ {
    add_header Content-Security-Policy "default-src 'self' ; font-src 'self' data: ;script-src 'self' 'unsafe-inline' https://*; worker-src blob:; media-src blob: https://* http://*; style-src  'self' 'unsafe-inline' https://*;base-uri 'self'; form-action 'self'; frame-ancestors 'self'; object-src 'none';img-src 'self' data: *;";
    expires off;
}

nonce

如果你担心内联脚本(unsafe-inline)的JS注入,但是又需要内联JS的执行。可以使用nonce属性。CSP Header会返回一个随机字符串,当它与s

最低0.47元/天 解锁文章
黑暗行动
关注
专栏目录
如何排查Nginx配置问题导致的域名访问错误
weixin_44976692的博客
05-21 2万+
通过逐一排查以上可能性,你应该能够找到并解决Nginx配置中的问题,确保域名能够正确访问网站。在CentOS或RHEL系统上,SELinux可能会阻止Nginx访问某些文件或目录。在使用Nginx搭建网站时,有时候会遇到域名访问报错的问题。本文将介绍一些常见的可能性,以及如何排查Nginx配置问题导致的域名访问错误。通过这篇博客文章,你可以了解到常见的Nginx配置问题,并学会如何排查和解决这些问题,从而确保域名能够正确访问网站。即使你已经检查过配置文件语法,但有时细微的错误可能会被忽略。
php-csp-nonce-source:PHP的CSP(内容安全策略随机数
05-24
用于PHP的CSP现时源 用于PHP的CSP(内容安全策略随机数源库。 什么是CSP随机数来源? 它是防止XSS的CSP 2功能之一。 如果您不知道,请参阅 。 要求 PHP 5.4或更高版本 安装 $ git clone https://github.com/kenjis/php-csp-nonce-source.git $ cd php-csp-nonce-source $ composer install 用法 您只需调用Csp::sendHeader()和Csp::getNonce() 。 Csp::sendHeader()发送CSP标头。 Csp::getNonce()返回随机数值。 <?php require __DIR__ . '/bootstrap.php' ; Csp :: sendHeader (); ?> <!DOCTYPE html > < htm
nginx常用设置
G.Q.F的专栏
10-23 527
1. installinstall pcre./configuremake && make installinstall nginx./configure –prefix=/usr/local/nginx –with-zlib=/zlib_soure_dir/make && make install 2. Install FastCgi initconfigur
nginx部署vue项目(提供vue.config、nginx配置文件)
最秃不过程序员的博客
06-01 1894
需要看过相关文章,懂vue打包等,其他文章都不是很清晰,有些也不好用,本人亲测总结windows下可用,linux需要自己装环境测试。
Nginx模块——random_index
qq_37117521的博客
06-19 655
多个主页随机展示,给用户不同的感觉 配置语法: 配置语法示例: /opt/app/code下有三个页面,访问该路径下页面将显示不同的页面 但linux中的隐藏文件不会显示 ...
python2安装包_Python 2.7.16 发布
weixin_39831991的博客
11-22 286
入门 Python 都遇到一个老生常谈的问题:就是选择 2.x 版本呢,还是 3.x 版本呢?这个问题其实没有标准答案,但是 2.7 系列的维护时间确实快结束了,近日,Python 官方发布了 2.7 系列的常规 Bug 修复以及安全维护版本:2.7.16。官方对这次发布没做太多说明:Release Date: March 4, 2019Python 2.7.16 is a bugfix...
nginx解决内容安全策略CSP(Content-Security-Policy)配置方式
热门推荐
yb创作中心
09-09 4万+
nginx解决内容安全策略CSP(Content-Security-Policy)配置方式(项目实战亲测使用) 下面这段配置拷贝到配置文件即可,注意顺序不能乱 add_header Content-Security-Policy "default-src 'self' static4.segway.com(该地址按需修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-Xss-Protection "1;mode=
Nginx 配置与优化:常见问题全面解析
小白的博客
07-26 4166
Nginx 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。由于其高效性和灵活性,Nginx 在网站服务器领域得到了广泛应用。然而,在实际使用中,用户可能会遇到各种问题。本文将介绍一些常见的 Nginx 问题及其解决方法。
利用nginx实现负载均衡 | 哈希算法,sticky模块实现session粘滞
Minz
08-02 1517
一,普通的负载均衡 1,启动nginx服务器 之前已经把/usr/local/nginx/sbin/nginx链接到/sbin下,所以直接使用nginx命令打开 2,修改主配置文件/usr/local/nginx/conf/nginx.conf user  nginx nginx; #原来的nobody设置为nginxnginx组 # 需要创建用户 [root@server4 con...
实现nginx随机直接输出字符
design321的专栏
02-20 8590
准备软件及第三方模块: nginx-1.9.2.tar.gz ngx_devel_kit-master.zip 随机数模块的依赖模块 --add时在前面(--add-module=../nginx_module/ngx_devel_kit-master--add-module=../nginx_module/set-misc-nginx-module-master) set-misc-n
在K8S的ingress-nginx使用 Nginx 配置 Content Security Policy (CSP) 修复网站安全漏洞
FizzX1的博客
08-28 1665
通过使用 Nginx 配置 Content Security Policy (CSP),您可以增强您的网站的安全性,防止恶意脚本注入攻击。确保生成唯一的 Nonce 值,替换页面中的占位符,并正确地配置 Nginx 头部,以实现有效的 CSP 防护。
url链接后面加随机数-随机时间
在北风吹起的时候加入我们的队伍 在秋雨到来的时候成为彼此的温暖
04-06 1761
链接后面加随机数-随机时间-"?timestamp=" + new Date().getTime(); window.location.href="aa.html?id=" + id +"?timestamp=" + new Date().getTime(); "?timestamp=" + new Date().getTime();
CSP
bylfsj的博客
10-31 957
3.2.4. CSP¶ 3.2.4.1. CSP是什么?¶ Content Security Policy,简称 CSP。顾名思义,这个规范与内容安全有关,主要是用来定义页面可以加载哪些资源,减少 XSS 的发生。 3.2.4.2. 配置CSP策略可以通过 HTTP 头信息或者 meta 元素定义。 CSP 有三类: Content-Security-Policy (Google ...
nginx CSP 防护
12-12 2514
CSP 内容安全策略,主要可用于防范XSS注入 具体相关文档参考: https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Content-Security-Policy https://cloud.tencent.com/developer/section/1189862 项目中 nginx 配置,需要配置在server下: ###frame 同源策略 add_header X-Frame-Options SAMEORIGIN; ###CSP防护
nginx random_index module讲解
li12412414的博客
02-02 2266
random_index_module 语法配置如下: 这个配置默认是关闭的,必须是配置在location目录下才可以生效。 andom_index on |off:表示的是随机选择该目录下的一个文件显示出来但是这个文件如果是一个隐藏的文件,也就是以.开头的文件,那么random_index对此是没有作用的。Mv 3.html .3.html。mv表示的是重命名此时使用ls -
概率随机数
Little-Gao的博客
11-01 1588
概率随机数
产生随机数 random
zz_xyz的博客
10-20 235
public static void main(String[] args) { // TODO Auto-generated method stub Integer len =7; Random random = new Random(); for(int i=0;i
nginx模块之http_random_index_module/随机主页(默认)
MrLee的博客
07-01 1791
一,介绍1,编译选项--with-http_random_index_module2,作用:nginx的客户端的状态二,配置语法三,配置四,查看(不会吧linux隐藏文件作为随机主页(既以点开头的文件))忽略...
nginx配置HSTS策略
最新发布
07-27
HTTP Strict Transport Security (HSTS) 是一种安全协议,它告诉浏览器始终通过HTTPS连接访问特定域名,防止中间人攻击。要在 Nginx 配置中启用 HSTS 策略,你需要在服务器块中添加以下几行: ```nginx server { listen 80; # 如果你的网站还监听80端口,需要先重定向到443 server_name example.com; return 301 https://$host$request_uri; # 首次请求时永久重定向到HTTPS # 添加以下两行配置启用HSTS策略 add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"; # max-age表示有效期,这里是1年,并指定子域也应用此策略(includeSubDomains),preload用于让Chrome等浏览器加入公共预加载列表 ssl_certificate /path/to/your.crt; # SSL证书路径 ssl_certificate_key /path/to/your.key; # 私钥路径 } ``` 然后,你可以把上面的配置放入你的 Nginx配置文件(如`/etc/nginx/nginx.conf`),或者将它们放在一个单独的 `.conf` 文件中,并通过 `include` 指令包含进来。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值