关于在Nginx中配置HTTP安全响应头可能会导致的一些问题

已于 2022-09-27 15:19:23 修改
阅读量3.6k 收藏 7
点赞数 1
分类专栏: 开发文档 文章标签: nginx http 安全 java
于 2022-05-11 18:09:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jie1134514406/article/details/124715459
版权

关于在Nginx中配置HTTP安全响应头可能会导致的一些问题

最近在实际开发过程中需要对项目的http响应头做一些配置,以防止各类XSS攻击、点击劫持等。在实际配置过程中,发现部分配置加上之后会导致页面部分资源比如图片image,表单样式css等无法正常加载,现记录如下。

1.Content-Security-Policy(CSP)

CSP 是一个计算机的安全标志,主要用来防止 XSS、点击劫持、SQL 注入等攻击;CSP 通过定义运行加载脚本的位置和内容防止恶意代码的加载。这个配置往往用于定义页面可以加载哪些资源,减少和上报 XSS 的攻击,防止数据包嗅探攻击。
实际配置过程中发现如果简单的将属性配置为default-src 'self‘',可能会导致部分css表单样式无法加载,使得页面布局乱掉。

推荐配置方法:

add_header Content-Security-Policy "default-src 'self' example.com(按实际需求修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;";
5.X-Content-Type-Options

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为。

作用:禁用浏览器的 Content-Type 猜测行为。

使用方法:

# add_header X-Content-Type-Options  "nosniff";

这个配置在使用过程中碰到的问题是最多的,该配置可能会带来以下问题:
1.将X-Content-Type-Options设置为nosniff时,您还必须在NGINX中设置允许的MIME资源类型,需要在nginx.conf配置文件(或者在http配置模块,server配置模块)中加上如下两行配置

include /etc/nginx/mime.types;
default_type application/octet-stream;

2.后台返回的资源类型必须与页面中定义的资源类型严格保持一致,否则也会导致资源无法加载。
比如我在配置时发现,后台返回一张图片image格式为.jpeg格式,而页面中引用时如果图片标签为<img src="image.png" />,那么这个配置会检测到响应的MIME类型与请求的类型不符。

3.一个特殊的例子
X-Content-Type-Options配置为nosniff的情况下,css样式中引用了.gif格式的图片也会无法正常加载,改为.png格式后就可以正常加载出来。

等风起也等你乀
关注
专栏目录
Nginx配置安全策略总结
智慧,不是知识、不是经验、不是思辩,而是超越自我中心的态度。
09-27 5095
基于AppScan安全扫描工具检测出来的服务器安全隐患,通过nginx负载的配置总结。
Nginx配置Http响应安全策略_nginx content-security-policy
m0_60707660的博客
04-06 1145
外链图片转存…(img-k8i9jTyB-1712340605442)]
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
HTTP完全注解】XSS攻击?内容安全策略出手的
最新发布
weixin_52182944的博客
09-12 619
当其他用户浏览评论时,浏览器执行评论JavaScript代码。这个恶意脚本窃取用户的Cookie数据,并将它发送到攻击者的服务器,攻击者可以在服务器上分析这些Cookie数据,可能用于进一步的攻击,如身份盗窃或话劫持。是不是很恐怖,当然聪明的朋友可能说:“那我做好用户输入、客户端渲染的数据校验不就可以了吗?确实,,但不能完全依赖它来确保安全,因为XSS攻击可以非常隐蔽和复杂,比如下面这个例子:有一个在线论坛网站用于用户发表和浏览帖子。
Nginx Content-Security-Policy csp问题
zm170305的博客
05-26 2307
最近新弄一个qa环境,前后端分离项目,用nginx 做跳转,把前后端的包都丢上去了,后端去请求数据没有问题,可以返回数据,但是前端访问的时候,一直抛错。网上找了很久这个问题,一直以为是前端打的包有问题,后来问了一个有经验的同事,他说是csp 问题,需要配置文件,网上搜索就很快找到了类似问题的处理方式。只需要在nginx 配置添加
宝塔等Nginx环境添加允许跨域Header
u011042325的博客
08-18 1624
解决问题安全报告请求问题
nginx安全策略问题
zhangiser的专栏
05-09 3306
不允许被嵌入,包括, , , 和 在nginxnginx.conf 的http 下面 加入安安全策略。这里主要是 frame-ancestors的参数需要调整。# 只允许被白名单内的页面嵌入。# 只允许被同源的页面嵌入。
详解NginxHTTP的keepalive相关配置
09-30
Nginx配置文件,keepalive_timeout通常设置在http, server或location块。默认情况下,Nginx对客户端的keepalive_timeout值设置为65秒。对于后端服务器,Nginx使用keepalive_timeout来控制与后端服务器的TCP...
在使用 Nginx 过程,用户可能遇到一些常见的问题 以下是对这些常见问题的说明和解决方法
07-08
**问题描述**:在尝试启动 Nginx 服务时,可能遇到启动失败的情况。这种情况通常是由于配置文件错误、端口冲突或者权限问题导致。 **解决方法**: 1. **检查配置文件语法**:首先应使用命令 `nginx -t` 来测试...
Nginx服务器配置404错误页面时一些值得注意的地方
09-30
Nginx服务器配置404错误页面是一项常见的任务,但如果不正确处理,可能导致“软404”错误,这不仅影响用户体验,还可能对搜索引擎优化产生负面影响。软404错误指的是服务器返回200状态码,而不是404状态码,让...
使Nginx服务器支持文URL的相关配置详解
09-30
百度虽然也支持文URL,但可能因为编码识别问题,显示在搜索结果文URL在地址栏里还是可能出现乱码。 现在,为了使Nginx服务器支持文URL,我们需要进行以下配置: 1. 服务器端字符集配置 服务器端的字符集...
nginx add header csp
或非与博客
08-08 1264
引入谷歌 / hotjar统计,等外站的js/frame/css,出现script-src、style-src、connect-src、frame-src、img-src等提示不安全,需要在nginx部增加Content-Security-Policy
Nginx 常见 header 配置及修改
am_Linux的博客
04-10 1万+
除了自带的 headers 模块,也可以安装第三方的 headers-more 模块,对应 headers 的控制更全面,更方便,headers-more 是 openresty 的一个模块,openresty 就自带了,nginx 的话,需要编译添加动态模块。proxy_set_header 通常用的最多,可以在提交给上游服务器的 header 添加或重写 header,比如通常用到的,反向代理的时候,添加客户端 IP、XFF 等字段。
nginx web 安全配置
栋院
02-27 8255
1、配置响应(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection) server{ add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1;mode=block'; add_header X-Content-Type-Options nosniff; } 注: X-Frame-Options: 有些资源的Content-Type
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
Nginx安全防范配置
linus.lin的博客
06-09 4322
隐藏版本号 http { server_tokens off; } 经常有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞 开启HTTPS server { listen 443; server_name ops-coffee.cn; ssl on; ssl_certificate ...
Nginx配置文件详解
热门推荐
m0_62231324的博客
08-27 3万+
Nginx配置文件详解1、Nginx配置文件1.1主配置文件详解1.2子配置文件2、全局配置部分2.1修改启动的工作进程数(worker process) 优化2.2cpu与worker process绑定2.3 PID 路径修改2.4 修改工作进程的优先级2.5调试工作进程打开的文件的个数2.6关闭master-worker工作模式(仅测试用)3、events部分4、http设置(http部分)4.1http部分详解4.2mime4.3 server 下的 root指令4.4构建虚拟主机4.4.1基于域名
Nginx修改默认Content-Type
Colinspace
06-28 6549
Nginx安装之后 `default_type` 的值默认配置为 application/octet-stream,但是目前很多时候和第三方系统交互,对方提供校验文件需要我们配置nginx对应的域名更目录下。这个时候就出现校验文件请求直接被下载而不是返回文件内容... ......
nginx配置http响应的具体步骤
03-21
配置nginxhttp响应可以通过修改nginx配置文件来实现。具体步骤如下: 1. 打开nginx配置文件,一般位于`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf/nginx.conf`。 2. 在`http`块添加或修改`server_tokens`指令,用于控制nginx返回的服务器版本信息。可以设置为`off`来隐藏服务器版本信息,例如:`server_tokens off;`。 3. 在`http`块添加或修改`add_header`指令,用于添加自定义的响应。语法为:`add_header header_name header_value [always];`,其`header_name`为要添加响应名称,`header_value`为要添加响应的值,可选的`always`参数表示无论响应状态码是什么都添加响应。例如:`add_header X-Custom-Header "Custom Value";`。 4. 保存配置文件并重新加载nginx配置,可以使用命令`nginx -s reload`或者`service nginx reload`。 注意:以上步骤是基本的配置方法,具体的配置可能因为nginx版本和需求而有所不同。在修改配置文件之前,建议备份原始配置文件以防止配置错误导致问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值