关于在Nginx中配置HTTP安全响应头可能会导致的一些问题

已于 2022-09-27 15:19:23 修改
阅读量3.5k 收藏 7
点赞数 1
分类专栏: 开发文档 文章标签: nginx http 安全 java
于 2022-05-11 18:09:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jie1134514406/article/details/124715459
版权

关于在Nginx中配置HTTP安全响应头可能会导致的一些问题

最近在实际开发过程中需要对项目的http响应头做一些配置,以防止各类XSS攻击、点击劫持等。在实际配置过程中,发现部分配置加上之后会导致页面部分资源比如图片image,表单样式css等无法正常加载,现记录如下。

1.Content-Security-Policy(CSP)

CSP 是一个计算机的安全标志,主要用来防止 XSS、点击劫持、SQL 注入等攻击;CSP 通过定义运行加载脚本的位置和内容防止恶意代码的加载。这个配置往往用于定义页面可以加载哪些资源,减少和上报 XSS 的攻击,防止数据包嗅探攻击。
实际配置过程中发现如果简单的将属性配置为default-src 'self‘',可能会导致部分css表单样式无法加载,使得页面布局乱掉。

推荐配置方法:

add_header Content-Security-Policy "default-src 'self' example.com(按实际需求修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;";
5.X-Content-Type-Options

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为。

作用:禁用浏览器的 Content-Type 猜测行为。

使用方法:

# add_header X-Content-Type-Options  "nosniff";

这个配置在使用过程中碰到的问题是最多的,该配置可能会带来以下问题:
1.将X-Content-Type-Options设置为nosniff时,您还必须在NGINX中设置允许的MIME资源类型,需要在nginx.conf配置文件(或者在http配置模块,server配置模块)中加上如下两行配置

include /etc/nginx/mime.types;
default_type application/octet-stream;

2.后台返回的资源类型必须与页面中定义的资源类型严格保持一致,否则也会导致资源无法加载。
比如我在配置时发现,后台返回一张图片image格式为.jpeg格式,而页面中引用时如果图片标签为<img src="image.png" />,那么这个配置会检测到响应的MIME类型与请求的类型不符。

3.一个特殊的例子
X-Content-Type-Options配置为nosniff的情况下,css样式中引用了.gif格式的图片也会无法正常加载,改为.png格式后就可以正常加载出来。

等风起也等你乀
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
http响应最大时长 nginx_Nginx保持长连接的配置 - 运维记录
weixin_39629989的博客
12-21 2244
Nginx,对于http1.0与http1.1是支持长连接的。http请求是基于TCP协议之上的,那么当客户端在发起请求前,需要先与服务端建立TCP连接,而每一次的TCP连接是需要三次握手来确定的,如果客户端与服务端之间网络差一点,这三次交互消费的时间比较多,而且三次交互也带来网络流量。当然,当连接断开后,也有四次的交互,当然对用户体验来说就不重要了。而http请求是请求应答式的,如果我...
关于nginxHTTP Response响应字段X-Frame-Options,报错CORS
qq_42869878的博客
10-13 1745
关于nginxHTTP Response响应字段X-Frame-Options 什么是X-Frame-Options HTTP有一个特殊的Response响应字段X-Frame-Options,它可以指示是否允许浏览器在<iframe>、<frame>、<embed>和<object>里渲染。许多站点可以利用这个字段避免clickjacking的攻击,这是一个浏览器安全问题,简单来说就是可以使用程序模拟用户恶意点击页面相关的DOM元素,比如在登录页
nginx header参数丢失_程序员安全规范:安全无小事,安全防范从nginx配置做起
weixin_39687359的博客
11-23 349
隐藏版本号http { server_tokens off;}经常有针对某个版本的nginx安全漏洞出现,隐藏nginx版本号就成了主要的安全优化手段之一,当然最重要的是及时升级修复漏洞开启HTTPSserver { listen 443; server_name ops-coffee.cn; ssl on; ssl_certificate /etc/nginx/server.crt; ssl...
Nginx配置Http响应安全策略_nginx content-security-policy(2)
m0_58269520的博客
04-08 956
http {http {注意:在生产环境,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
如何在Nginx配置HTTP安全响应
热门推荐
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
nginx 502 bad gateway响应过大
huangliuyu00的博客
06-28 1050
通过nginx代理了个地址,请求接口直接响应 502 Bad Gateway。排查下来发现,被请求的服务,其实已收到请求,并且也已经正常响应回来,只是到了nginx处理出错了。查看nginx日志发现这个其实就是服务返的响应过大,默认代理缓冲区太小,要设置一下。
Nginx的流式响应配置
weixin_54104864的博客
05-25 4814
Nginx的流式响应(streaming response)是指在Nginx作为反向代理服务器时,将响应内容一边接收,一边逐步发送给客户端的过程。这种响应方式可以提高用户体验和网络传输效率,常用于处理较大的响应内容。在默认情况下,Nginx是通过缓存响应内容来处理请求的。也就是说,当Nginx接收到完整的响应后,才将其发送给客户端。因此,Nginx提供了流式响应的功能,让反向代理服务器能够在接收到响应的同时,逐步地将响应内容发送给客户端。这段nginx配置是为了解决流式响应问题
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 7979
host攻击漏洞,点击劫持漏洞,X-Download-Options响应缺失,X-Permitted-Cross-Domain-Policies响应缺失,Referrer-Policy响应缺失,Strict-Transport-Security响应缺失,Content-Security-Policy响应缺失,X-XSS-Protection响应缺失,X-Content-Type-Options响应缺失,话cookie缺少HttpOnly属性......
NGINX和Tomcat安全配置NGINX响应等)
weixin_39076313的博客
07-07 1380
NGINX和TOMCT安全配置
nginx缓存页面后 串问题的解决方法
01-10
经检查,nginx响应页面的信息也一起缓存,包括Set-cookie,导致后面访问页面的用户的cookie被设置成缓存的。 解决方案,nginx提供proxy_hide_header的指令,可以去掉相关的响应信息: proxy_hide_header ...
使用docker部署nginx前后端解决跨域问题.docx
03-05
使用docker部署nginx前后端解决跨域问题
nginx信号集案例详解
01-11
经过排查发现,当时 nginx 刚刚完成热更新操作,旧的 master 进程还存在,因为要准备机器重启,先切掉了引流流量(但有些请求还在),同时系统触发了 nginx -s stop,这才导致了这个问题。 场景复现 下面我将使用一...
Nginx 上传大文件超时解决办法
01-20
解决方法是在nginx配置文件下,加上以下配置: client_max_body_size 50m; //文件大小限制,默认1m client_header_timeout 1m; client_body_timeout 1m; proxy_connect_timeout 60s; proxy_read_timeout
Nginx服务器实现数据静态压缩的方法
01-11
如果你用的是squid 3.0以前的版本并且用的是 ngnix server的话可能碰到如下问题: 不用squid直接打开页面则客户端返回的是压缩的状态,如果启用squid加速发现下载下来的页面不是压缩状态。这里面主要是没有启动...
HTTP 协议的基本格式和Fidder的简单使用
m0_67452103的博客
05-27 911
HTTP协议诞生于1996(开玩笑哈,),http协议用于网页和手机app和服务器交互的场景。通过HTTP协议,客户端(例如网页浏览器或手机应用)可以向服务器发送请求,服务器则响应这些请求并返回相应的数据。这种交互包括获取网页内容、提交表单数据、传输文件等各种操作。虽然 HTTP 作用很大,应用很广,但是实际开发,不一定是真正直接使用 HTTP,更大的概率是使用HTTPS(下一篇博客介绍到),本质上还是 HTTP,但是引入了额外的加密层,使其更加的安全
.NET调用GRPC出现 Bad gRPC response. Response protocol downgraded to HTTP/1.1.
背水的博客
05-27 172
可以看到Grpc.Net.Client包从2.57版本后就没有.net5依赖项了。所以要保持版本在2.56,同理Grpc.Net.ClientFactory。如果你使用的不是最新的,net版本需注意包的版本。这个问题困扰了我一天🤣🤣🤣🤣 记录一下。我这里以.net 5为例。如果开了代理,需关掉,
企业微信hook接口协议,ipad协议http,获取欢迎语列表
最新发布
企微HOOK 协议
05-31 158
获取欢迎语列表。
nginx配置http响应的具体步骤
03-21
配置nginxhttp响应可以通过修改nginx配置文件来实现。具体步骤如下: 1. 打开nginx配置文件,一般位于`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf/nginx.conf`。 2. 在`http`块添加或修改`server_tokens`指令,用于控制nginx返回的服务器版本信息。可以设置为`off`来隐藏服务器版本信息,例如:`server_tokens off;`。 3. 在`http`块添加或修改`add_header`指令,用于添加自定义的响应。语法为:`add_header header_name header_value [always];`,其`header_name`为要添加响应名称,`header_value`为要添加响应的值,可选的`always`参数表示无论响应状态码是什么都添加响应。例如:`add_header X-Custom-Header "Custom Value";`。 4. 保存配置文件并重新加载nginx配置,可以使用命令`nginx -s reload`或者`service nginx reload`。 注意:以上步骤是基本的配置方法,具体的配置可能因为nginx版本和需求而有所不同。在修改配置文件之前,建议备份原始配置文件以防止配置错误导致问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值