Nginx修复CORS漏洞方案(亲测可行)

最新推荐文章于 2024-05-18 17:10:49 发布
最新推荐文章于 2024-05-18 17:10:49 发布
阅读量3.2k 收藏 11
点赞数 2
文章标签: 安全 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengxioabai/article/details/129675975
版权

漏洞介绍
概述:CORS,跨域资源共享(Cross-origin resource sharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。当该配置不当的时候,就导致资源被恶意操作
潜在危害:中

CORS漏洞修复的时候,网上有发现太多的漏洞修复方案,走了很多弯路,试了好多种方案都没办法修复,要么没生效or容易绕过,下面这个修复方式亲测可以修复(修改下面域名即可),供参考:

nginx CORS配置

location / {

    set $flag 0;

    if ($http_origin = '')

    {

        set $flag "${flag}1";

    }

    if ($http_origin !~* ^(http|https)://www\.abc\.com$){

        set $flag "${flag}1";

    }

    if ($flag = "01"){

        return 403;

    }

    if ($http_origin ~* ^(http|https)://www\.abc\.com$) {

        add_header Access-Control-Allow-Origin $http_origin;

        add_header Access-Control-Allow-Methods GET,POST;

        add_header Access-Control-Allow-Credentials true;

        add_header Access-Control-Allow-Headers DNT,Keep-Alive,User-Agent,If-Modified-Since,Cache-Control,Content-Type;

   }

}

fengxioabai
关注
  • 2
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx跨域漏洞修复处理过程(验证通过)
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-14 1486
## 背景 安全漏扫发现某业务网站存在Origin源不严格,从而造成跨域问题,如下测试结果 ## 跨域 跨域是指使用一个域(网站)下的文档或脚本可去请求获取到另一个域(网站)下的资源的可能风险。 ## 处理 ...
服务器及nginx常见漏洞修复
09-14
服务器及nginx常见漏洞修复
Nginx代理解决CORS跨域
weixin_42949219的博客
10-16 1231
详细解释:https://blog.csdn.net/huang714/article/details/122173438。
CORS跨域资源共享漏洞的复现、分析、利用及修复过程
最新发布
heike_Ch的博客
05-18 865
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Nginx使用“逻辑与”配置origin限制,修复CORS跨域漏洞
qq_53058639的博客
03-02 2736
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
热门推荐
ACGkaka的博客
02-26 1万+
Nginx学习笔记(七)使用“逻辑与”配置origin限制,修复CORS跨域漏洞
nginx环境CORS 跨域漏洞修复
core815的专栏
12-27 923
【代码】nginx环境CORS 跨域漏洞修复
Nginx 解决漏洞扫描 弱CORS策略
qq_36608921的博客
07-12 1473
主要在nginx配置允许通过的地址。
Nginx解决CORS跨域解决方案
weixin_34106122的博客
04-24 2655
首先通读下 MDN 关于 CORS 的 定义,了解跨域的含义及简单请求和复杂请求等的定义。文中的内容不赘述,现在说解决方案。 通过定义我们可以,简单请求与复杂请求的差别是复杂请求会自动发出一个 OPTIONS 的预检请求,当请求得到确认后,才开始真正发送请求。 综上,我们要解决两个问题: OPTIONS 请求的正确响应 跨域请求正确响应 1、OPTIONS 请求的正确响应 解决的方式有多种,既...
nginx-cors-config.zip_cors_nginx
09-20
【标题】"nginx-cors-config.zip_cors_nginx" 提供了一个关于如何在 Nginx 服务器上配置 CORS(跨源资源共享)的解决方案CORS 是一种机制,它允许 Web 应用程序从不同的源(比如不同的域名)请求资源,以克服...
ngnix 漏洞修复文档
03-03
Nginx 漏洞修复文档 Nginx 是一种流行的开源 web 服务器软件,但如果配置不当,可能会出现多种漏洞,影响网站的安全性。...Nginx 漏洞修复文档提供了多种解决方案修复 Nginx漏洞,使得网站更加安全
Nginx解析漏洞测试
09-19
Nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的...
nginx-1.13.10 Linux版本亲测可用 .zip
03-08
标题中的“nginx-1.13.10 Linux版本亲测可用”表明这是一个针对Linux操作系统的Nginx软件包,版本号为1.13.10,并且已经有人验证过这个版本在Linux环境下可以正常运行。 Nginx的1.13.10版发布于2018年,它包含了多...
渗透专题丨web Top10 漏洞简述(2)
jmm18363027827的博客
07-02 304
当用户发起一个前端的请求时,便会将请求的这个文件的值(比如文件名称)传递到后台,后台再执行其对应的文件。任意文件读取与下载又名不安全的文件下载,一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等。通过任意文件下载,可以下载服务器的任意文件,web 业务的代码,服务器和系统的具体配置信息,也可以下载数据库的配置信息,以及对内网的信息探测等等。2.过滤返回信息,验证远程服务器对请求的响应是比较容易的方法。
nginx 解决跨域问题——(CORS
赵忠洋的博客
12-22 3104
跨源资源共享CORS,或通俗地译为跨域资源共享)是一种基于 HTTP 头的机制,该机制通过允许服务器标示除了它自己以外的其它源(域、协议和端口),使得浏览器允许这些 origin 访问加载自己的资源。跨源资源共享还通过一种机制来检查服务器是否会允许要发送的真实请求,该机制通过浏览器发起一个到服务器托管的跨源资源的“预检”请求。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。
CORS解决跨域问题(及Nginx配置)
拾年一剑 的专栏
08-30 4656
文章目录概念解决办法简单请求非简单请求配置nginxJava里参考Java 测试前端测试 概念 跨域: 同域:域名(父域名和子域名都相同),端口,协议都相同。 跨域:非同域的请求。 跨域指的是浏览器不能执行其它网站的脚本,它是由浏览器的同源策略造成的,是浏览器对JavaScript 施加的安全限制。 浏览器在执行脚本的时候,都会检查这个脚本属于哪个页面,即检查是否同源,只有同源的脚本才会被执行;而非同源的脚本在请求数据的时候,浏览器会报一个异常,提示拒绝访问。 注意: 跨域不是请求发不出去,而是服务端
跨域资源共享CORS漏洞
yz18931904的博客
04-19 966
(186条消息) 跨域资源共享CORS漏洞_Luckysec的博客-CSDN博客_cors跨域资源共享漏洞 https://www.bugbank.cn/live/view.html?id=111824 https://blog.csdn.net/m0_38103658/article/details/102721402 https://research.qianxin.com/archives/290
nginx 修复CORS跨域漏洞
05-28
Nginx修复CORS跨域漏洞,可以通过在Nginx配置文件中添加以下代码: ``` location /api { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; add_header 'Access-Control-Allow-Headers' 'DNT,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Range'; if ($request_method = 'OPTIONS') { return 204; } } ``` 以上代码将在/api路径下添加CORS相关的响应头,允许所有域名访问。其中,'Access-Control-Allow-Origin'表示允许访问的域名,'*'表示所有域名都可以访问;'Access-Control-Allow-Credentials'表示是否允许携带Cookie;'Access-Control-Allow-Methods'表示允许的HTTP请求方法;'Access-Control-Allow-Headers'表示允许的请求头。 需要注意的是,以上代码中的$request_method变量表示当前请求的HTTP方法,如果是OPTIONS方法则返回204状态码,表示预检请求成功。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值