安全相关的HTTP Response Header 与 Nginx 配置

最新推荐文章于 2024-07-20 23:33:46 发布
最新推荐文章于 2024-07-20 23:33:46 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: 前端 安全 文章标签: HTTP Header 前端 安全 Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maofeideng/article/details/84306317
版权

文章目录

安全相关的HTTP Response Header

  1. X-Frame-Options
  2. X-Content-Type-Options
  3. X-XSS-Protection

X-Frame-Options

X-Frame-Options响应头,可以阻止站点内的页面被其他页面嵌入从而防止点击劫持。

漏洞分析

点击劫持是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个当前网页上。然后诱使用户在该网页上进行点击操作,此时用户在不知情的情况下点击了透明的iframe页面。如果用户恰好点击在iframe页面的一些功能性按钮上(如点赞按钮),就能达成攻击者想要的目的(获取点赞)。

解决方案与配置

使用 X-Frame-Options 有三个可选的值:

  • DENY:浏览器拒绝当前页面加载任何Frame页面
  • SAMEORIGIN:frame页面的地址只能为同源域名下的页面
  • ALLOW-FROM:origin为允许frame加载的页面地址

一般来说,允许同源域名下加载的配置是较为合适的选择。

Nginx配置

add_header X-Frame-Options SAMEORIGIN;

X-Content-Type-Options

X-Content-Type-Options响应头主要用来防止在IE9、chrome和safari中的MIME类型混淆攻击。

漏洞分析

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing(嗅探)来猜测该资源的类型,解析内容并执行。这会让某些攻击者利用浏览器嗅探内容机制的漏洞,把有危害的文件伪装成能通过浏览器嗅探的类型,进行攻击。

解决方案与配置

通过设置 X-Content-Type-Options:nosniff 。如果content-type和期望的类型匹配,则不需要嗅探,只能从外部加载确定类型的资源。如果不匹配,那么返回的资源会被浏览器阻止加载。

Nginx配置

add_header X-Frame-Options SAMEORIGIN;

X-XSS-Protection

X-XSS-Protection响应头设置了浏览器的XSS防护机制,明确地告诉浏览器XSS filter/auditor该如何工作。

漏洞分析

XSS跨站脚本攻击比较常见的漏洞,这里的介绍引用作者“那一叶随风”的文章《XSS跨站脚本攻击》,地址为:https://www.cnblogs.com/phpstudy2015-6/p/6767032.html

XSS跨站脚本攻击:恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点,进而添加一些代码,嵌入到web页面中去。使别的用户访问都会执行相应的嵌入代码。从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。

更加详细的关于XSS的介绍,请看上述文章。

解决方案与配置

XSS防护机制的目的都很简单,如果浏览器检测到了含有恶意代码的输入被呈现在HTML文档中,那么这段呈现的恶意代码要么被删除,要么被转义,恶意代码不会被正常的渲染出来,当然了,浏览器是否要拦截这段恶意代码取决于浏览器的XSS防护设置。

X-XSS-Protection 的字段有三个可选配置值:

  • 0: 表示关闭浏览器的XSS防护机制
  • 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置
  • 1; mode=block:如果检测到恶意代码,则不渲染恶意代码

我认为,设置为XSS-Protection: 1; mode=block是比较合适的。

设置为0,那么防护机制就没有;设置为1,则容易被恶意输入把正常代码或者防御代码给删除掉。

Nginx配置

add_header X-XSS-Protection "1; mode=block"
方寸者
关注
专栏目录
nginx配置教程之add_header的坑详解
09-29
**Nginx 配置教程:深入理解 `add_header` 指令的陷阱** `add_header` 是 Nginx 的 `headers` 模块中的一个关键指令,它允许我们在 HTTP 响应头中添加自定义字段。然而,这个指令在实际使用中存在一些需要注意的坑...
Nginx 中常见 header 配置及修改
am_Linux的博客
04-10 1万+
除了自带的 headers 模块,也可以安装第三方的 headers-more 模块,对应 headers 的控制更全面,更方便,headers-more 是 openresty 的一个模块,openresty 就自带了,nginx 的话,需要编译添加动态模块。proxy_set_header 通常用的最多,可以在提交给上游服务器的 header 中添加或重写 header,比如通常用到的,反向代理的时候,添加客户端 IP、XFF 等字段。
nginx 修改Response Headers
weixin_35751194的博客
01-09 1590
要修改nginx的响应头,可以使用nginx的add_header指令。 例如,要在所有响应中添加一个X-Powered-By头,可以使用如下配置: add_header X-Powered-By "My App" always;
Nginx 中如何设置 HTTP 响应头?
最新发布
发现生活,分享智慧,一起成长!
07-20 1194
Nginx 的世界里,设置 HTTP 响应头就像是给我们的网络通信赋予了更多的智慧和策略。通过合理地设置响应头,我们可以提高网站的性能、保障网站的安全、提供更好的用户体验。就像一位精明的管家,精心打理着每一个细节,让整个网络世界变得更加有序和精彩。
Nginx之设定Response Head -yellowcong
04-04 6836
nginx 安装 Nginx之解压编译安装-yellowcong nginx #下载nginx headers 得模块 git clone https://github.com/openresty/headers-more-nginx-module.git #进入nginx 配置nginx cd nginx-1.14.0 #配置nginx ./configure --user=www --g...
nginx 服务器的响应头,详解Nginx服务器中HTTP Headers相关的模块配置使用
weixin_30139729的博客
07-30 3813
ngx_http_headers_module模块一. 前言ngx_http_headers_module模块提供了两个重要的指令add_header和expires,来添加 “Expires” 和 “Cache-Control” 头字段,对响应头添加任何域字段。add_header可以用来标示请求访问到哪台服务器上,这个也可以通过nginx模块nginx-http-footer-filter研究...
nginx】记录response body和header到access.log
be5yond的博客
12-17 1万+
1 背景 netstub项目中,需要记录经过网关的请求信息到日志,供loki采集,以便后续的统计分析工作。 需要记录请求的request_body, request_header, response_body, response_header数据到access.log。 本文记录一下配置过程。 2 配置 2.1 记录请求url 配置nginx配置文件default.conf ,使用nginx内置变量 $host 和$request即可获得url数据 log_format main esca.
教你怎么用Nginx往request的header中添加新字段
04-09
结合提供的文件名,我们可以推断,`2nginx response.png`可能展示了Nginx添加自定义响应头的结果,`1request header中添加apiversion.png`可能描绘了在请求头中添加`apiversion`字段的过程,而`Nginx居然还能实现...
nginx add_header指令使用方法
09-30
nginx配置文件中,我们可以通过使用add_header指令来设置response header。这个指令的基本使用方法就是将header的key和value用空格分隔,然后写在nginx配置文件中。例如,如果你想设置"Cache-Control"为"no-...
nginx安全优化与性能优化1
08-03
**Nginx安全优化** 在网络安全中,隐藏服务器版本信息是一项重要的安全措施,因为它可以防止攻击者利用已知的漏洞进行针对性的攻击。Nginx作为广泛应用的Web服务器,其安全优化至关重要。以下是对Nginx进行安全优化...
nginx服务器通过配置来解决API的跨域问题
09-30
跨域资源共享(CORS)是一个安全机制,用于限制网页上的JavaScript如何能够与不同源(域名、协议或端口)的服务器进行交互。当一个Web页面试图通过XMLHttpRequest或Fetch API请求不同源的资源时,浏览器会先发送一个...
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
本文将详细解释如何通过Nginx配置来实现跨域请求,并探讨相关技术背景。 首先,我们来看如何配置Nginx以允许跨域请求。在Nginx配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/sites-available/default)中,...
Windows版nginx去掉header中server后面的信息(nginx版本1.21.1)
03-02
Windows版nginx去掉header中server后面的信息(nginx版本1.21.1) 使用方法: 1、关闭nginx服务 2、将新的nginx.exe替换原有的exe文件 3、重启nginx服务
nginx服务器配置解决ajax的跨域问题
01-20
如采用firebug调试API请求(这个API是自己服务器的应用),看到服务器明明返回200状态,response返回数据也是json格式,但ajax返回的error。 在排除json数据格式不正确的原因之后,发现了ajax error函数返回...
为何要小心Nginx的add_header指令详解
01-11
大家都知道,nginx配置文件通过使用add_header指令来设置response header。 昨天无聊用curl查看一个站点的信息,发现返回的头部与想象中的不一样: HTTP/2 200 date: Thu, 07 Feb 2019 04:26:38 GMT content-type: ...
nginx做网站转发时处理302、303返回状态码、修改response返回的header和网页内容
diweng4066的博客
07-23 2101
背景 遇到一个限制域名的平台,于是使用nginx在做网站转发,其中目标网站在访问过程中使用了多个302、303的返回状态,以便跳转到指定目标(为什么限制,就是防止他的网站的镜像)。 在查找了一段资料后,发现nginx可以proxy网站,让其在自己的网站路径上访问。本文总共解决以下两个需求: 访问指定路径时,代理指定网站 解决302、303状态码的网站 修改responseheader...
nginx(六十五)proxy模块(六)处理上游的响应头部
wzj_110的博客
11-24 3173
上游响应头的处理
Nginx:设置响应header的content-type
热门推荐
风静如云的博客
11-17 1万+
会导致响应中有两个content-type,一个是image/jpeg,另一个是application/octet-stream。Nginx通常根据/etc/nginx/mime.types文件中类型设置content-type。如果需要可以对location进行正则匹配,这样可以根据需要返回响应头Content-Type。那么当下载图片时,浏览器会在窗口内直接显示图片,而不是另存为文件。
Nginx+swoole 报错upstream prematurely closed connection while reading response header from upstream, client
05-25
这个错误通常是由于upstream服务(即被代理的后端服务)过早关闭连接导致的。可能的原因包括: 1. 后端服务在处理请求时出现错误而崩溃,或者超时了。 2. Nginx与后端服务之间的连接被意外中断,例如由于网络故障或服务器重启。 为了解决这个问题,你可以尝试以下几个步骤: 1. 检查后端服务的日志以查看是否有任何错误或超时发生。 2. 检查Nginx与后端服务之间的网络连接是否稳定。你可以使用ping或telnet命令测试连接。 3. 增加后端服务的连接超时时间。你可以在Nginx配置文件中使用proxy_connect_timeout和proxy_read_timeout指令。 4. 调整Nginx的缓冲区大小。你可以使用proxy_buffer_size和proxy_buffers指令来调整缓冲区大小,以确保可以处理大量的响应数据。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值