Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)

最新推荐文章于 2024-06-21 00:48:22 发布
最新推荐文章于 2024-06-21 00:48:22 发布
阅读量2.2k 收藏 2
点赞数
分类专栏: 程序员 文章标签: 面试 java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64205564/article/details/121332001
版权
本文介绍了如何使用Nginx配置HTTP响应头来增强网站安全性,包括设置X-Frame-Options防止点击劫持,X-Content-Type-Options防止MIME类型嗅探,Content-Security-Policy防御XSS,以及X-XSS-Protection增强跨站脚本攻击防护。通过正确配置这些响应头,可以有效提升网站的安全性。
摘要由CSDN通过智能技术生成

SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示

ALLOW-FROM url

表示该页面可以在指定来源的frame中展示

如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

PS:目前发现这个HTTP响应头会带来的问题就是百度统计中的“热点追踪(页面点击图)”功能会失效,这也说明百度统计的“热点追踪(页面点击图)”使用的是 frame 嵌入引用网页的形式,这时候大家可以使用 X-Frame-Options 的ALLOW-FROM uri来指定百度统计域名为可 frame 嵌入域名即可。具体在Nginx里可以采用如下的方式添加响应头

add_header X-Frame-Options:ALLOW-FROM https://tongji.baidu.com;

add_header X-Frame-Options:SAMEORIGIN;

X-Content-Type-Options响应头

================================================================================================

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:text/html代表html文档,image/png是PNG图片,text/css是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

例如,我们即使给一个html文档指定Content-Type为text/plain,在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。在Nginx里通过下面这个响应头可以禁用浏览器的类型猜测行为:

X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,

而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。

X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

add_header X-Content-Type-Options: nosniff;

这个响应头的值只能是nosniff, 可用于IE8+和Chrome

IE的行为受X-Content-Type-Options的影响,如果Web应用没有返回Content-Type,那么IE9、IE11将拒绝加载相关资源。

如果服务器发送响应头 “X-Content-Type-Options: nosniff”,则

最低0.47元/天 解锁文章
m0_64205564
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx配置各种响应防止XSS,点击劫持frame恶意攻击
weixin_47083537的博客
07-28 2048
为什么要配置HTTP响应? 不知道各位有没有被各类XSS攻击点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应,使用这些响应一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这
Nginx防止流量攻击配置详解
09-30
本文将详细解析如何配置Nginx防止流量攻击,主要包括限制请求速率、控制并发连接数以及自定义错误页面。 首先,我们要理解Nginx防止流量攻击的核心机制,即限流。限流可以通过Nginx的`limit_req`模块实现,它可以...
WEB安全防御总结一 : 响应(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection)
了解—学习—进步—满足
09-08 1万+
漏洞简介: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。 修复建议: 1. 响应中存在 X-Content-Type-Options 属性,而且 X-Content-Type-Options 属性值包含“nosniff”。 2. 检测 HTTP X-Frame-Options 字段,字段值包含 deny 或 sameorigin。 3.配置...
Nginx访问控制
最新发布
Lzcsfg的博客
06-21 1064
auth_basic:启用或禁用基本身份验证,接受一个字符串参数作为提示信息或者off。:指定包含用户名和密码的文件。配置上下文:这两个指令可以在httpserverlocation和块中使用。通过以上配置示例,可以在不同的级别和上下文中灵活地启用基本身份验证,保护 Nginx 服务器上的资源。
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
ideal-lingyun
09-24 879
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
为什么我们要使用HTTP Strict Transport Security?
weixin_33982670的博客
01-18 1138
为什么我们要使用HTTP Strict Transport Security?                                wenjian_tk0                                                                                                              2015-05-...
项目或者nginx配置中怎么预防XSS攻击
keyboard专栏
04-24 1007
预防跨站脚本攻击XSS)是网络应用安全的关键部分。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常是通过注入恶意的HTML或JavaScript代码到用户页面上。防止XSS需要在应用程序开发和服务器配置两方面同时进行防护。
关闭nginx空主机 防止nginx空主机恶意域名指向
01-10
nginx的默认配置中的虚拟主机允许用户通过IP访问,或者通过未设置的域名访问(比如有人恶意把他自己的域名指向了你的ip) 这是因为默认配置中的server区域里有这一行: listen 80 default; 后面的default参数表示这...
Nginx防止SQL注入攻击的相关配置介绍
09-30
Nginx防止SQL注入攻击是保护Web应用程序安全的重要环节。SQL注入是黑客利用恶意SQL语句侵入数据库的一种常见方法。以下是一些相关的配置介绍,这些配置可以帮助你阻止可能的SQL注入尝试。 首先,了解基本思路:...
Nginx防御DDOS攻击配置方法教程
09-30
本文将详细介绍如何通过Nginx配置来防御DDoS攻击。 首先,DDoS攻击分为四层流量攻击和七层应用攻击。四层攻击主要针对网络层的带宽,而七层攻击则针对应用程序的处理能力。Nginx作为应用服务器,主要关注七层防御...
如何在响应中防治xss
weixin_46600931的博客
04-17 903
请注意,虽然这些响应可以提高安全性,但它们并不能完全防止所有的XSS攻击,你仍然需要在应用程序中实施其他的安全措施,如输入验证和适当的输出编码。在HTTP响应中设置一些特定的安全策略可以帮助防止XSS(跨站脚本)攻击。:这个响应可以防止浏览器基于内容猜测响应的MIME类型,从而防止某些类型的攻击。:这个响应可以限制浏览器只加载和执行来自特定来源的脚本。函数会自动设置一些安全相关的HTTP响应,包括上面提到的那些。:这个响应可以启用浏览器内置的XSS过滤器。来限制浏览器只执行来自同源的脚本。
JAVA-添加HTTP响应预防XXS攻击
有点儿文绉绉的小赖的博客
03-22 2283
http响应缺失,会受到外部xxs跨站攻击,所以在项目中,我们需要可以通过一些配置来预防
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
完颜振江
12-12 724
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
2021-09-06
z1015840017的博客
09-06 430
nginx配置X-Frame-Options允许多个域名iframe嵌套 X-Frame-Options HTTP 响应是用来给浏览器指示允许一个页面可否在 , 或者 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击nginx配置X-Frame-Options有四个参数: 1、DENY 表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。 nginx配置示例:add_header X-
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
绿盟漏扫系统漏洞及修复方案
DEFT1998的博客
02-19 9539
绿盟漏扫系统漏洞及修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应的缺失使得目标URL更易遭受跨站脚本攻击。 2.HTTP X-XSS-Protection 响应是 Inte
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
热门推荐
baiyongliang
05-23 3万+
简单的配置方式:Content-Security-Policy,X-Frame-Options未设置”警告的过滤器 1.CSP 简介 内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 9619
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
nginx配置请求防止点击劫持
稻火的博客
05-25 481
nginx配置请求防止点击劫持 在返回index.html配置中加入add_header X-Frame-Options DENY; location / { root /data/nginx/html/dist/; index index.html; add_header X-Frame-Options DENY; try_files $uri $uri/ @router; } DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 SAMEORIGIN 表示该页
nginx配置http响应的具体步骤
03-21
配置nginx的http响应可以通过修改nginx配置文件来实现。具体步骤如下: 1. 打开nginx配置文件,一般位于`/etc/nginx/nginx.conf`或`/usr/local/nginx/conf/nginx.conf`。 2. 在`http`块中添加或修改`server_tokens`指令,用于控制nginx返回的服务器版本信息。可以设置为`off`来隐藏服务器版本信息,例如:`server_tokens off;`。 3. 在`http`块中添加或修改`add_header`指令,用于添加自定义的响应。语法为:`add_header header_name header_value [always];`,其中`header_name`为要添加的响应名称,`header_value`为要添加的响应的值,可选的`always`参数表示无论响应状态码是什么都添加该响应。例如:`add_header X-Custom-Header "Custom Value";`。 4. 保存配置文件并重新加载nginx配置,可以使用命令`nginx -s reload`或者`service nginx reload`。 注意:以上步骤是基本的配置方法,具体的配置可能会因为nginx版本和需求而有所不同。在修改配置文件之前,建议备份原始配置文件以防止配置错误导致的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值