Nginx防止跨站脚本 Cross-site scripting (XSS)

最新推荐文章于 2024-04-24 03:00:00 发布
最新推荐文章于 2024-04-24 03:00:00 发布
阅读量3k 收藏 1
点赞数 1
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangshuanshuan/article/details/101361154
版权

nginx.conf中配置add_header X-XSS-Protection "1; mode=block";

        add_header X-Frame-Options SAMEORIGIN; # 只允许本站用 frame 来嵌套
        add_header X-Content-Type-Options nosniff; # 禁止嗅探文件类型
        add_header X-XSS-Protection "1; mode=block"; # XSS 保护

X-XSS-Protection 的字段有三个可选配置值

0: 表示关闭浏览器的XSS防护机制
1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置
1; mode=block:如果检测到恶意代码,在不渲染恶意代码

如果在你的业务场景中,你认为你的程序或系统是不会有XSS漏洞的, 或者是无法承担XSS filter/auditor 特性引发的BUG,那你就选择配置成前者;否则,你还是选择配置成后者吧。 反正,千万别配置成XSS-Protection: 1

JesJiang
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
怎么防止跨站脚本攻击(XSS)?
Learn-anything.cn
11-24 3345
一、XSS 是什么? 跨站脚本攻击(Cross-site scriptingXSS)是攻击者向网站注入恶意脚本,等待用户访问网站并自动运行恶意脚本发起攻击的过程。不同的脚本可以实现不同目的: 盗用cookie,获取敏感信息。 利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。
Nginx跨域访问场景配置和防盗链详解
09-29
主要介绍了Nginx跨域访问场景配置和防盗链详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
nginx添加站点脚本
01-15
nginx添加站点脚本
项目或者nginx配置中怎么预防XSS攻击
最新发布
keyboard专栏
04-24 878
预防跨站脚本攻击(XSS)是网络应用安全的关键部分。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常是通过注入恶意的HTML或JavaScript代码到用户页面上。防止XSS需要在应用程序开发和服务器配置两方面同时进行防护。
关于nginx配置项防止xss攻击的记录
蓝色的天空的博客
04-03 6097
server { ...... //以下两种方式未生效 add_header Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-XSS-Protection "1; mode=block"; location / { ......
抄了一段nginx安全配置
weixin_30325793的博客
01-27 708
location = /robots.txt { access_log off; log_not_found off; } location = /favicon.ico { access_log off; log_not_found off; } location ~ /\. { access_log off; log_not_found off; deny all; } l...
nginx add_header X-Frame-Options 防跨站脚本攻击
测试0901-1
12-07 4513
版权声明:本文为博主原创文章,转载请标明出处。 https://blog.csdn.net/ljl890705/article/details/78071601 x-frame-options响应头缺失漏洞。 故名思意,就是返回的响应头信息中没有包含x-frame-options头信息设置。 x-frame-...
使用nginx实现跨站脚本
折腾
12-01 372
最近在做一个系统整合的项目,目的是把某政府机关中的N个系统进行深度整合。由于这些系统分属于多家不同公司,无法拿到系统的源代码。 初步构思是使用Frame/IFrame将对方的系统加载到页面中,然后用Javascript模拟用户的操作去获取或设置某些信息,以达到深度整合的目的。 技术上没有什么太难得地方,但是发觉Javascript无法操作Frame/IFrame内容是不...
Reflected Cross Site Scripting (XSS)
angry_program的博客
02-10 2536
前言 反射型XSS, 即 Reflected Cross Site Scripting (XSS),攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的 页面和内容),一般容易出现在搜索页面。 下面对四种不同等级的反射型XSS漏洞进行分析: Low 服务端核心代码: <?php header ("X-XSS-Prot...
服务又被攻击?Nginx + 简单脚本,轻松拦截
2301_78526383的博客
07-01 630
不论是在现实生活、还是网络世界,总有那么一些不怀好意的人,老是喜欢在背后搞一些小动作,比如恶意请求你的网站,API接口,很多时候他也没有做啥过分的坏事,但就是会影响到正常用户的使用;下面就教一个非常好用的拦截方式:Nginx + 一个简单的脚本;即可轻松把这些人给揪出来,然后给禁用掉:在ngnix的conf目录下创建一个文件里面放需要封禁的IP,格式如下在ngnix的HTTP的配置中添加如下内容重启 ngnix然后你就会看到IP被封禁了,你会喜提403。
跨站辅种工具后端代码
02-28
跨站辅种工具后端代码通常涉及到Web开发中的一个重要领域,即跨站脚本(Cross-Site Scripting,简称XSS)的安全防范和资源管理。在这个项目中,后端代码可能包括了处理用户请求、验证数据、防止XSS攻击、以及与其他...
xss-labs靶场,直接放到www目录下直接用,超方便
09-24
XSS-Labs是一个针对跨站脚本(Cross-Site Scripting,简称XSS)安全漏洞的专业靶场。这个靶场设计了一系列的挑战关卡,旨在帮助用户深入理解XSS攻击的原理、类型以及防御策略。通过实战演练,用户可以提升对XSS漏洞...
LNMP下防跨站、跨目录的安全设置,仅支持PHP5.3.3以上版本
09-15
然而,LNMP环境中可能存在跨站(Cross-Site Scripting, XSS)和跨目录访问的安全隐患,这可能导致数据泄露、恶意攻击等严重问题。为了解决这些问题,尤其是对于PHP 5.3.3及以上版本,我们可以利用PHP的open_basedir...
xss平台搭建源码,xss漏洞练习
06-03
XSS(Cross-Site Scripting)是一种常见的网络攻击方式,主要针对Web应用程序,攻击者通过在网页上注入恶意脚本,使用户在不知情的情况下执行这些脚本,从而获取敏感信息或者控制用户的行为。本资源提供了XSS平台的...
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
2301_81749759的博客
04-17 993
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://foo.com或者直接foo.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,浏览器应该自动把所有尝试使用HTTP的请求自动替换为HTTPS请求。
nginx配置Strict Transport Security
weixin_30469895的博客
08-07 1741
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://zt.test.com或者直接zt.test.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,...
XSS 跨站脚本攻击 的防御解决方案
东四先生的博客
03-26 1132
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS的攻击原理和分类 XSS分为:存储型、反射型 、DOM型XSS 存储型XSS:存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,插入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中...
Xss跨站脚本经验总结Cross Site Scripting
jijithin
03-20 219
最近这段时间我所在的公司让我搞一些有关网络安全方面的东西,其实是有关安全机制方面的工作,现在所做的项目整体已经到了维护的阶段,我所处的项目组现在还在改造,不过遗留了好多bug,特别是有关Xss方面的,(XSS跨站脚本 http://de.wikipedia.org/wiki/XSS或者http://baike.baidu.com/view/50325.htm)。详情请参考以上网址。   1...
nginx strict-origin-when-cross-origin
04-30
nginx strict-origin-when-cross-origin是一种安全策略,用于防止跨站请求伪造(CSRF)攻击。这个策略告诉浏览器在跨域请求时,只能将请求的源信息发送给服务器,不允许发送任何其他信息,比如cookie或HTTP头。源信息可以告诉服务器请求是从哪个域名来的,在服务器端可以相应地加以处理。这样可以有效地防止黑客攻击者伪造请求来篡改用户信息或执行其他危险操作的企图。 Nginx是一个高性能的Web服务器和反向代理服务器,可以配置strict-origin-when-cross-origin策略,提供数据安全保障。这个策略可以使用nginx的add_header指令来实现,在nginx配置文件中使用以下语法: add_header Cross-Origin-Opener-Policy "same-origin"; add_header Cross-Origin-Embedder-Policy "require-corp"; add_header Cross-Origin-Resource-Policy "same-origin"; 这个指令可以为HTTP响应头添加特定的Cross-Origin-xxx-Policy,分别对应着 Cross-Origin-Opener-Policy、Cross-Origin-Embedder-Policy、Cross-Origin-Resource-Policy的配置。Cross-Origin-Opener-Policy用于限制新窗口访问请求的origin;Cross-Origin-Embedder-Policy用于限制嵌入资源访问请求的origin;Cross-Origin-Resource-Policy用于限制第三方资源访问请求的origin。这样,添加了这些配置后,nginx就可以根据这些策略来限制跨域的访问请求,有效地保护了数据安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值