Nginx配置origin限制CORS跨域漏洞(应对等保渗透)

于 2024-08-15 14:12:24 发布
阅读量508 收藏 5
点赞数 15
分类专栏: 前端小白的运维之路 文章标签: nginx 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/io_123io_123/article/details/141219316
版权

        线上系统在等保测评的时候被扫出来了CORS跨域问题,但是根据网上大多数人用的方法之后,发现,还是能被扫出来问题,被这个问题困扰了很久,才找到了问题的解决方案,亲测有效!!!

1、问题扫描报告

2、百度推荐使用最多的方案(复测还有)

        解决思路其实很简单:通过Nginx配置请求头,拦截掉非法的Origin请求方式。

        网上最多的建议:

        在Nginx中配置,单纯的加 “add_header Access-Control-Allow-Origin” 是没有丝毫作用的,加上之后还是能被扫到这个漏洞,如下代码段:

location / {
  add_header Access-Control-Allow-Origin *.xxx.com;
  add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}

3、有效解决方案总结

(1)http下配置 map指令 (这个可以)

        1)在http中定义一个通过map指令,定义跨域规则并返回是否合法

http {
    ...
    # 说明:一般使用http_origin来进行跨域控制,当不传递origin头的时候,就为这个里面的默认值,当传递有值得时候,才会走下面得正则匹配
    map $http_origin $allow_cors {
        default 1;
        #以下为提供参考的正则表达式
        "~^https?://.*?\.theorydance\.com.*$" 1;
        "~^(https?://(dmp.xxxxxx.cn)?)$" 1;
        "~http://www.diuut.com" 1;
        "~*" 0;
    }
    server {
        location / {
            if ($allow_cors = 0){
                return 403;
            }
            root /data/deploy;
        }
    }
}

上述规则中,
a.当不传递origin头的时候,就为这个里面的默认值为1,
b.如果orgin的值为https://dmp.xxxxxx.cn或者含“theorydance”的,我们认为是合法的请求,返回数值1,如果是其它值,返回数值0

        2)在server中根据$allow_cros的值进行请求拦截

if ($allow_cros = 0){
     return 403;
}

        3)在server中添加头部

#指定允许其他域名访问        
add_header Access-Control-Allow-Origin $http_origin;
#允许的请求类型
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
#许的请求头字段
add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";

验证:

1、不指定 origin时,请求正常

2、指定合法 origin时,请求正常 

3、指定非法origin时,请求返回403 

 (2) server下配置 (这个感觉没有什么作用)

server {
set $cors_origin "";  
if ($http_origin ~* "^http://19.142.15.54$") {  
   set $cors_origin $http_origin?;  
}  

add_header Access-Control-Allow-Origin $cors_origin;

listen       9101;
server_name  localhost;

     location / {
         root   /usr/share/nginx/html/gzt/;
         index  index.html index.htm;
         add_header Access-Control-Allow-Origin $cors_origin;
     }
}

(3) 方法三:server下配置 (这个可以)

        Nginx if语法不支持if条件的逻辑与&&逻辑或|| 运算 ,而且不支持if的嵌套语法。需要借助变量来实现嵌套语法或多条件判断:

server {
    listen       9101;
    server_name  localhost;

    #如果存在Origin头且Origin头不匹配指定的IP地址模式,那么返回403错误。
    set $flag 0;
    #Origin有值的情况下。flag为01
    if ($http_origin) {
        set $flag "${flag}1";
    }
    #Origin有值且不符合以下判断,flag为012
    if ($http_origin !~ "19.166.2.54.*") {
        set $flag "${flag}2";
    }    
    if ($flag = "012") {
        return 403;
    }
}

****注释****

首先,根据给出的Nginx配置代码,我们来分析各部分的逻辑:
$flag 初始值为0。
如果 $http_origin 有值,则 $flag 加上 “1”。
如果 $http_origin 的值不匹配正则表达式 “19.166.2.54.*”,则 $flag 加上 “2”。
最后,如果 $flag 的值为 “012”,则返回403。

小张快跑。
关注
  • 15
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
m0_67392010的博客
07-27 5060
以上就是今天要讲的内容,本文仅仅简单介绍了用nginx来解决Access-Control-Allow-Origin跨域问题;
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置跨域请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的跨域行为。...
nginx跨域配置
qq_44659804的博客
02-02 7395
nginx跨域配置
Nginx配置跨域请求 Access-Control-Allow-Origin *
qq_27008807的博客
12-23 1万+
当出现403跨域错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数,如下:location / { add_header Access-Control-Allow-Origin *; }
nginx 配置跨域失效修复的方法示例
09-29
本文将详细讨论在Nginx配置跨域请求的正确方法,并解释常见的配置错误和误区。 首先,我们需要理解Nginx中处理跨域请求的核心配置指令。在Nginx配置文件中,我们可以通过在`location`指令块内添加特定的`add_...
在各种服务器(nginx,apache,tomcat)上设置CORS跨域设置.zip
01-06
CORS跨域设置主要涉及到修改服务器配置,添加适当的HTTP响应头部,如`Access-Control-Allow-Origin`、`Access-Control-Allow-Methods`和`Access-Control-Allow-Headers`。具体实现方法因服务器类型而异,但核心思想...
Nginx跨域配置.zip
01-21
在处理跨域问题时,Nginx扮演着至关重要的角色,因为浏览器的同源策略限制了JavaScript从一个源访问另一个源的资源。本资源包主要涵盖了在Linux环境下安装Nginx以及配置Nginx解决跨域问题的方法。 一、Linux下安装...
nginx服务器通过配置来解决API的跨域问题
09-30
跨域资源共享(CORS)是一个安全机制,用于限制网页上的JavaScript如何能够与不同源(域名、协议或端口)的服务器进行交互。当一个Web页面试图通过XMLHttpRequest或Fetch API请求不同源的资源时,浏览器会先发送一个...
解决CORS : No ‘Access-Control-Allow-Origin’ header is present on the requested问题 ,Nginx跨域配置
最新发布
bk_陈龙伟
03-16 3881
解决CORS : No ‘Access-Control-Allow-Origin’ header is present on the requested问题 ,Nginx跨域配置
Nginx设置Access-Control-Allow-Origin多域名跨域
1193379199的博客
01-08 2745
nginx上的解决方案是配置Access-Control-Allow-Origin来解决,但是要么允许所有,要么允许单个的,都不能解决我的文件,经过一番查找找到了解决方法,为大家介绍的关于nginx设置Access-Control-Allow-Origin多域名跨域的解决方法。可通过如下配制进行多域名的设置。
Nginx如何解决浏览器跨域问题、Cors跨域资源共享解决跨域问题、浏览器的同源策略原理(Same-Origin Policy)源站Origin
Dontla的博客
07-21 2833
如果有了浏览器同源策略,浏览器就会判断,如果浏览器的源站,即发送请求的网页的域名(或IP地址),与请求服务器的接口的(域名(或ip地址)、端口、协议)不一致时,即为跨域请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同源策略通过限制跨域请求的访问权限,确保了网页只能访问与其来源相同的资源,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器同源策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据;
跨域跨域请求伪造详解
dh554112075的博客
07-08 3213
什么是跨域? 简单来说,就是我在一个站点向另一个站点发送了请求(ajax或者链接),只要这两个站点HTTP协议、域名或是端口中有一个不一样,说明发送了跨域。 由于浏览器的同域安全策略(the same-origin security policy),这种跨域请求会被禁止。 eg.如下为在一个站点向另一个站点发送请求。 跨域问题解决 (1)@CrossOrigin:该注解有一个origins参数,可配置允许进行跨域的站点。 @CrossOrigin(origins = {"http://b.com:8080
nginx配置指南
qwsdfFDFSAD的博客
09-16 823
Nginx的主配置文件(配置块功能描述全局块与Nginx运行相关的全局设置events块与网络连接有关的设置http块代理、缓存、日志、虚拟主机等的配置server块虚拟主机的参数设置(一个http块可包含多个server块)location块定义请求路由及页面处理方式配置文件示例一个比较全的配置文件示例如下。# 全局段配置# 指定运行nginx的用户或用户组,默认为nobody。# 设置工作进程数,通常设置为等于CPU核心数。# 指定nginx进程的PID文件存放位置。
Nginx 获取自定义请求header头和URL参数
JineD的博客
06-23 1万+
1、自定义请求header (Jquery为例) 2、在Nginx中获取请求header在nginx的location配置中,在获取header配置时,须要在header名称前面加上固定前缀“http_“,并将header名称中的“-”中划线变为下划线,举例说明: 自定义的header名称为X-TimerLocal,那在nginx中使用$http_x_timerlocal 来获取到X-TimerLocal的值。 if ($http_x_timerlocal  = 'B
nginx获取第三方ngixn中请求头信息以及判断是否有参数的跳转地址
zouyang920的博客
01-14 7819
1.配置示例 user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; # Load dynamic modules. See /usr/share/doc/nginx/README.dynamic. include /usr/share/nginx/modules/*.conf; events { worker_connections 1024; } http {
nginx配置CORS实现跨域
热门推荐
yanggd1987的专栏
05-16 3万+
简介 之前项目中遇到过几次跨域访问,通过百度或谷歌查询在nginx配置相关header予以解决,若不管用就没其他办法了;从来没有真正深入了解过,下面我们就来认识下CORS及在nginx中如何配置CORS CORS是一个W3C标准,全称是跨域资源共享(Cross-origin resource sharing)。它允许浏览器向跨源服务器,发出XMLHttpRequest请求,从而克服了...
nginx解决cors跨域漏洞
05-27
要解决nginxCORS跨域漏洞,可以使用以下措施: 1. 设置Access-Control-Allow-Origin头部:在nginx配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Origin' '*'; ``` 该头部指定允许跨域请求的源。这里使用通配符*,表示允许任意来源访问。 2. 设置Access-Control-Allow-Methods头部:在nginx配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; ``` 该头部指定允许跨域请求的HTTP方法。这里只允许GET、POST和OPTIONS方法。 3. 设置Access-Control-Allow-Headers头部:在nginx配置文件中添加以下内容: ``` add_header 'Access-Control-Allow-Headers' 'DNT,X-CustomHeader,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type'; ``` 该头部指定允许跨域请求的HTTP头部。这里列出了一些通用的HTTP头部。如果需要使用其他自定义的HTTP头部,也可以在这里添加。 4. 设置Access-Control-Max-Age头部:在nginx配置文件中添加以下内容: ``` add_header 'Access-Control-Max-Age' 1728000; ``` 该头部指定OPTIONS请求的缓存时间,单位为秒。这里设置了20天的缓存时间。 通过以上措施,可以有效地解决nginxCORS跨域漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值