Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

本文介绍了配置Nginx的HTTP响应头以防止XSS攻击、点击劫持,包括X-Frame-Options、X-Content-Type-Options、X-Content-Security-Policy和StrictTransportSecurity等响应头的用途和配置方法,同时讨论了这些策略在浏览器兼容性和安全性方面的作用,以及在Google+、Twitter和Facebook等平台的实际应用。
摘要由CSDN通过智能技术生成

为什么要配置HTTP响应头?

不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。

Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击

 

而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这是一个比较严重的“疏忽”,加上还是很有必要的,如果有条件最好是部署一个适合自己站点的X-Content-Security-Policy响应头。

点击劫持

# 点击劫持(ClickJacking)是一种视觉上的欺骗手段。大概有两种方式,
# 一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;
# 二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;

X-Frame-Options响应头

X-Frame-Options HTTP 响应头是微软提出来的一个HTTP响应头,主要用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持(ClickJacking{注1}) 的攻击。

使用X-Frame-Options有三个值

# DENY
# 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许
# SAMEORIGIN
# 表示该页面可以在相同域名页面的frame中展示
# ALLOW-FROM url
# 表示该页面可以在指定来源的frame中展示

如果设置为 DENY,不光在别人的网站 frame 嵌入时会无法加载,在同域名页面中同样会无法加载。另一方面,如果设置为SAMEORIGIN,那么页面就可以在同域名页面的 frame 中嵌套。

PS:目前发现这个HTTP响应头会带来的问题就是百度统计中的“热点追踪(页面点击图)”功能会失效,这也说明百度统计的“热点追踪(页面点击图)”使用的是 frame 嵌入引用网页的形式,这时候大家可以使用 X-Frame-Options 的ALLOW-FROM uri来指定百度统计域名为可 frame 嵌入域名即可。具体在Nginx里可以采用如下的方式添加响应头

# add_header X-Frame-Options:ALLOW-FROM https://tongji.baidu.com;
# add_header X-Frame-Options:SAMEORIGIN;

X-Content-Type-Options响应头

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值