关于Nginx的漏洞扫描修复的解决方案

已于 2022-11-10 16:25:47 修改
阅读量2.7k 收藏 1
点赞数
文章标签: nginx 运维
于 2022-09-21 18:27:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/love910809/article/details/126975960
版权

漏洞问题:

1、X-Frame-Options Header 未配置
2、缺少Strict-Transport-Security标头
3、缺少Content-Security-Policy标头
4、缺少“X-XSS-Protection”头

解决方案:

1、在nginx的server、http或者location中添加如下配置:

add_header X-Frame-Options SAMEORIGIN;

2、在nginx的server、http或者location中添加如下配置:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

3、在nginx的server、http或者location中添加如下配置:
如果想要放开域名限制,可以使用*;如果只想放开某个或某些域名的访问,则将*替换为指定的域名,域名之间用空格隔开。

add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval'  blob: data: ;";
add_header Content-Security-Policy "default-src 'self' baidu.com google.com.cn 'unsafe-inline' 'unsafe-eval'  blob: data: ;";

4、在nginx的server、http或者location中添加如下配置:

add_header X-XSS-Protection 1;

参考:

X-Frame-Options响应头配置详解:https://blog.csdn.net/u014704612/article/details/115633050
前端安全配置之Content-Security-Policy(csp):https://www.cnblogs.com/heyuqing/p/6215761.html
王木头
关注
HSTS漏洞(缺少Strict-Transport-Security
墨痕诉清风的博客
05-17 1713
HTTP严格传输安全性(HSTS)告诉浏览器只能使用HTTPS访问网站。检测到您的Web应用程序实现HTTP严格传输安全性(HSTS),因为响应中缺少严格传输安全性标。理想回复响应因存在:Strict-Transport-Security: max-age=31536000信息。nginx添加响应
如何在Nginx中配置HTTP安全响应
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
中间件安全:Nginx 解析漏洞测试.
网络安全领域___专研者.
07-30 918
Nginx 是一个高性能的 HTTP和反向 代理服务器,Nginx 解析漏洞是一个由于配置不当导致的安全问题,它不依赖于Nginx或PHP的特定版本,而是由于用户配置错误造成的。这个漏洞允许攻击者上传看似无害的文件,例如图片格式的文件,但实际上这些文件中包含了PHP代码。当这些文件被请求时,由于配置错误,Nginx会将这些文件作为PHP文件执行,从而可能允许攻击者执行任意代码。
nginx(CVE-2022-41741)漏洞修复
热门推荐
tootsy_you的博客
05-19 2万+
nginx漏洞修复
nginx漏洞修复-web漏洞修复
weixin_45779793的博客
11-30 354
漏洞修复
设置Strict-Transport-Security响应【原理扫描】
tone1128的博客
07-12 1468
1.webconfig中添加响应
低危漏洞:X-Frame-Options Header配置
daisy_sura的博客
01-23 1万+
漏洞描述 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 <frame>,<iframe> 或者 <object>中展现的标记。配置X-Frame-Options的网站,可能有被点击劫持的风险(内容被嵌到别人的网站中去,并在上面加一个透明层,诱导用户点击) X-Frame-Options可选的参数值有三种: DENY S...
响应设置X-Frame-Options
weixin_46356409的博客
01-18 1830
通过设置’X-Frame-Options’响应,可以防止网页被嵌入到其他网站中,从而提高网站的安全性。网站容易受到点击劫持攻击:如果没有设置’X-Frame-Options’,攻击者可以在其他网站中嵌入恶意代码,诱使用户在不知情的情况下点击网页上的按钮或链接,从而执行恶意操作。网站可能无法在iframe中正常显示:如果没有设置’X-Frame-Options’,浏览器可能会阻止网页被嵌入到其他网站中,导致网页无法在iframe中正常显示。
Nginx漏洞扫描器GUI版
08-20
**Nginx漏洞扫描器GUI版** Nginx是一款高性能的HTTP和反向代理服务器,广泛应用于互联网服务,因其高效稳定、低内存占用等特性深受开发者喜爱。然而,任何软件都可能存在安全漏洞,Nginx也不例外。为了保障网络服务...
系统漏洞扫描解决方案分析
"该文档是关于扫描到的系统安全漏洞及其解决方案的总结,主要涵盖了5大类问题,包括注释中包含邮件信息、跨站点请求伪造、登录采用HTTPS方式、访问非法地址以及中间件问题。针对每个问题,文档提供了详细的问题...
nginx平滑升级解决 nginx 安全漏洞(CVE-2021-23017)和NGINX 环境问题漏洞(CVE-2019-20372)
m0_67391683的博客
07-28 3714
关于漏洞扫描nginx安全漏洞的修复。服务器漏洞扫描中扫出了nginx的安全漏洞,nginx安全漏洞(CVE-2021-23017)和NGINX环境问题漏洞(CVE-2019-20372),受影响版本为0.6.18-1.20.0;给出解决办法为升级补丁修复,由于漏洞较多考虑平滑升级。提示以下是本篇文章正文内容,下面案例可供参考以上就是对nginx安全漏洞进行处理平滑升级的内容,本文仅仅简单记录了自己工作中处理的问题,不一定适用于所有情况,仅供大家参考。httpshttpshttps。...
升级了OpenSSL后仍被扫描报存在漏洞的解决方案
bigwood99的博客
07-08 4483
安全漏洞修复-cve-2022-0778需要升级到openssl-1.1.1p。 几个CentOS服务器编译安装以后,腾讯云安全扫描依旧提示漏洞存在。
服务器HTTP响应安全性优化与漏洞修复方案
最新发布
Bertram的博客
08-09 415
服务器HTTP响应安全性优化与漏洞修复方案
Nginx常见漏洞处理
a630192144的博客
08-25 3223
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 1万+
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
web漏洞-缺少X-Frame-Options标
qq_35578446的博客
06-13 1万+
当X-Frame-Options HTTP 响应丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
关于nginx HTTP安全响应问题
A_991128a的博客
03-02 2075
一、背景二、http基本安全配置2.1 host攻击漏洞2.2 http method 请求方式攻击漏洞2.3 点劫持漏洞(X-Frame-Options)2.4 X-Download-Options响应缺失2.5 Content-Security-Policy响应缺失2.6 Strict-Transport-Security响应缺失2.7 X-Permitted-Cross-Domain-Policies响应缺失2.8 Referrer-Policy响应缺失。
几个“HTTP 请求”告警处理
虫虫的博客
09-23 2766
给NC搬了个家,发现又是一堆警告,都是HTTP响应相关的,不太影响使用,但对于强迫症来说,不解决一下怎么行 一些老旧的告警解决方法之前都写过了,见这里:https://bugxia.com/?s=nextcloud+后台+警告 HTTP的请求Strict-Transport-Security设置为至少 “15552000” 秒。 HTTP 请求 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险,我们建议您调整这项设置。 HT
【绿盟】检测到目标Strict-Transport-Security响应缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应缺失 检测到目标Referrer-Policy响应缺失 检测到目标X-Permitted-Cross-Domain-Policies响应缺失 检测到目标X-Download-Options响应缺失 点击劫持:X-Frame-Options配置 ..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值