nginx跨域漏洞问题处理

已于 2024-04-26 11:24:49 修改
阅读量2.5k 收藏 4
点赞数
分类专栏: linux 文章标签: nginx 安全 web安全
于 2020-08-11 18:37:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/enthan809882/article/details/107941696
版权

文章目录

本文解决的是跨域漏洞问题。
网上的多是如何实现跨域,这里是避免跨域。

场景

项目发现跨域漏洞。
也就是说,origin 设置为任意域名,都可以返回数据。这是不安全的。
实际应该只有指定的域名才可以返回数据。

目的: 不允许任意域访问数据。

解决方案

option的设置,实测无效

if ($request_method = 'POST') {
    add_header Access-Control-Allow-Origin *; # 这里需要设置为自己的域名
    add_header Access-Control-Max-Age 1728000;
    add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
    add_header Access-Control-Allow-Headers  'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range';
   add_header Content-Type' 'text/plain; charset=utf-8';
   add_header Content-Length 0 ;
   return 204;
}

deny和allow 可以么

配置:

satisfy all;
allow 127.0.0.1;
allow 192.168.0.1;
deny all;

修改origin为白名单,发现返回不了,只得作罢。
后来发现这个控制的是客户端ip,不是跨域origin地址,所以不管有效无效都是错的。

最终方案,判断$http_origin

原来: $http_origin是origin的值,如果不在白名单范围内,就返回403。
配置:

if ( $http_origin !~* 127.0.0.1|192.168.0.1|baidu|\*) { # 最后面的 \* 是为了匹配 * 号
        return 403 ;
}

另一种写法(加小块号)也是可以的,如:

if ( $http_origin !~* (127.0.0.1|192.168.0.1|baidu|\*) )

注: 这里面可以使用正则表达式。
可以写ip,也可以写域名,或者域名的一部分。

实测有用。
可能的副作用:
1、如果后面跟着try_files,try_files可能会失效。
例如如果某个地址找不到,那么会重定向到index.html。加了如上代码之后,无法重定向了。现象是刷新或者页面直接输入地址,会报403。
还有可能同页面的下载也会有问题,报403。

目前先将就用着,其实应该找更好的方法。

其他

nginx默认是不允许跨域的

配置中没有找到开启跨域的内容,为什么会有跨域安全问题呢?
待解决。

使用geo改进丑陋的代码

if后面跟多条件,代码确实比较丑陋。可以用geo模块转换下,代码就清爽很多,而且可以复用。
geo中是可以使用掩码等方式的,但是不知道是否可以通配符匹配。

access配置为什么会重复

我们发现,返回的报文中,access属性可能会多个。
Access-Control-Allow-Origin: deny
Access-Control-Allow-Origin: *
Access-Control-Allow-Origin: aaa.com

这说明他不是覆盖的关系,而是并列存在的关系。

try_files 和 if不要同时使用

同时使用发现有问题。
可能会导致if无效,或者try_files无效。

建议if语句放在外面。

chushiyunen
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx漏洞之未授权访问和源码泄漏漏洞处理,面试必会
2401_83739660的博客
04-18 734
然后重新配置grafana的CSS,修改成本地的地址,比如:/public/css/hotline.css。(img-TvF1J1CS-1713385338068)]究,那么很难做到真正的技术提升。#优化css加载速度。
跨域问题
qq_3316359388的博客
04-09 450
1.跨域原因 当浏览器访问 www.a.com时,tomcat1给返回一个js,用户看不到。这个js通过ajax去调用另一个服务tomcat2,如果能够调的通,那么就危险了。 所以 w3c标准不允许。当ajax调用www.b.com时,请求头里会放置一个变量。tomcat2检测到$http_origin 中的变量 即 原网址是否是本服务,如果不是,则拒绝该访问。 2.如何跨域 常见的跨域方案: jsonp、 document.domain + iframe 跨域 Cors解决方案(最优雅) 添加hea
Nginx跨域配置 正则匹配 $http_origin
weixin_45066823的博客
12-06 3691
开发需要一个满足正则匹配的跨域配置,就是指 只有满足正则匹配的域名($http_origin)才可以允许跨域 参考配置
Nginx配置origin限制跨域请求
Admans的专栏
07-07 1963
原文:https://blog.csdn.net/qq_20236937/article/details/128640137。.xxxxxx.cn或者含“theorydance”的,我们认为是合法的请求,返回数值1,如果是其它值,返回数值0。这个需要根据客户端传递的请求头中的Origin值,进行安全跨站策略配置,目的是对非法的origin直接返回。a.当不传递origin头的时候,就为这个里面的默认值为1,版权声明:本文为作者原创文章,转载请附上博文链接!3.指定非法origin时,请求返回403。
nginx部分内置变量详解
u014589884的博客
08-15 1万+
nginx内置变量详解 1.nginx中$host、$http_host和$proxy_host区别 变量 是否显示端口 值 $host 不显示端口 ...
nginx处理cros跨域遇到的各种问题解决方案,以及https配置和浏览器https不安全问题处理
wei1359765074410的博客
10-25 1万+
nginx的cros跨域和ssl配置
Nginx配置origin限制跨域请求(应对等保)
qq_20236937的博客
01-11 1万+
Nginx配置origin限制跨域请求(应对等保)
Nginx跨域配置
热门推荐
huang714的专栏
01-04 5万+
跨域概述 1.1 同源策略 同源策略是一个安全策略。同源,指的是协议,域名,端口相同。浏览器处于安全方面的考虑,只允许本域名下的接口交互,不同源的客户端脚本,在没有明确授权的情况下,不能读写对方的资源。 同源策略主要是基于如下可能的安全隐患: 用户访问www.mybank.com,登录并进行网银操作,这时cookie等资源都生成并存放在浏览器; 用户突然访问一个另一个网站; 该网站在页面中,拿到银行的cookie,比如用户名,登录token等,然后发起对www.mybank.com的操作;
nginx解决跨域问题
iqyduanwy的博客
09-25 266
参考:nginx简易使用教程,使用nginx解决跨域问题 前端: 项目路径 Ajax请求 $.ajax({ type:"post", url:"/webapp/userAllInfo/getBasicInfo", async:true, success:(data)=>{ console.log('data',data); } }); 后端:tomca...
nginx 跨域问题
qfyangsheng的博客
08-06 213
一. 什么是同源策略 一点历史: Netscape Communications Corporation(最初是Mosaic Communications Corporation)网景是一家独立的美国计算机服务公司,总部位于加利福尼亚州的山景城,然后在弗吉尼亚州的杜勒斯。[2]它的Netscape Web浏览器曾经一度占主导地位,但在所谓的第一次浏览器大战之后输给了Internet Explorer和其他竞争者,其市场份额从1990年代中期的90%以上下降到2002年的不足1%。 2006. Nets.
跨域资源共享 CORS 详解
09-02
跨域资源共享(CORS,Cross-Origin Resource Sharing)是一种机制,...开发者需要注意的是,正确配置服务器以支持CORS,并理解何时需要预检请求以及如何处理跨域时的Cookie和自定义头信息,以确保跨域通信的顺利进行。
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站的安全性。以下是 Nginx 漏洞修复文档的相关知识点: 1. X-Content-Type-Options 响应头缺失 X-...
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置跨域请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的跨域行为。...
java服务器端解决跨域问题共6页.pdf.zip
10-30
Java服务器端解决跨域问题是一项常见的任务,尤其是在开发Web应用时。跨域是由于浏览器的安全策略,即同源策略(Same-...无论选择哪种方法,确保对跨域问题有充分的认识,能够有效避免因为安全漏洞导致的数据泄露风险。
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
3. **代理服务器**:使用Nginx或其他反向代理服务器,让Vue应用请求通过代理服务器转发到Spring Boot应用,这样所有请求都在同一个域下,避免跨域问题,同时Session可以正常工作。 综上所述,解决Vue+Spring Boot...
Origin字段 Header 为了防止CSRF的攻击
xiejin2008的专栏
07-08 5732
为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。隐私方面:这种Origin字段的方式比Referer更人性化,因为它尊重了用户的隐私。1、Origin字段里只包含是谁发起的请求,并没有其他信息 (通常情况下是方案,主...
Nginx使用“逻辑与”配置origin限制,修复CORS跨域漏洞
最新发布
qq_53058639的博客
03-02 2788
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
跨域http请求 Access-Control-Allow-Origin
sinat_29326171的博客
01-10 1113
跨域http请求 Access-Control-Allow-Origin $cunzai_YZ = strstr($_SERVER['HTTP_REFERER'],'xxx.com'); if($cunzai_YZ){ header('Access-Control-Allow-Origin:*'); header('Access-Control-Allow-Credentials:true');...
nginx跨域
wiscourper的博客
04-24 656
# $http_origin动态获取请求客户端的请求域 不用*的原因是带cookie的请求不支持*(即Access-Control-Allow-Credentials设置为true时,这里不能用*) add_header Access-Control-Allow-Origin $http_origin; #需要带cookie时设置为true add_header 'Access-Cont...
nginx跨域设置防止cors漏洞
11-23
为了防止CORS漏洞,可以在Nginx服务器上进行以下设置: 1. 在Nginx配置文件中添加以下内容: ```nginx location / { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; if ($request_method = 'OPTIONS') { return 204; } } ``` 2. 在Nginx配置文件中添加以下内容,以允许特定的域名进行跨域请求: ```nginx location / { if ($http_origin ~* (http://localhost:8080|http://www.example.com)) { add_header 'Access-Control-Allow-Origin' "$http_origin"; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; } if ($request_method = 'OPTIONS') { return 204; } } ``` 3. 在Nginx配置文件中添加以下内容,以允许所有域名进行跨域请求: ```nginx location / { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; if ($request_method = 'OPTIONS') { return 204; } } ``` 4. 在Nginx配置文件中添加以下内容,以允许特定的域名进行跨域请求,并且允许特定的HTTP方法: ```nginx location / { if ($http_origin ~* (http://localhost:8080|http://www.example.com)) { add_header 'Access-Control-Allow-Origin' "$http_origin"; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; } if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; return 204; } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值