nginx 配置 避免xss攻击 劫持攻击 js脚本攻击

最新推荐文章于 2024-04-24 03:00:00 发布
最新推荐文章于 2024-04-24 03:00:00 发布
阅读量1.3w 收藏 2
点赞数
分类专栏: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16014497/article/details/80118761
版权

add_header X-Frame-Options "SAMEORIGIN";

add_header X-XSS-Protection "1; mode=block";

add_header X-Content-Type-Options "nosniff";

iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法

修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

也可在代码中加入,在PHP中加入:

header('X-Frame-Options: deny');


 X-XSS-Protection 的字段有三个可选配置值

0: 表示关闭浏览器的XSS防护机制

1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置

1; mode=block:如果检测到恶意代码,在不渲染恶意代码

如果在你的业务场景中,你认为你的程序或系统是不会有XSS漏洞的, 或者是无法承担XSS filter/auditor 特性引发的BUG,那你就选择配置成前者;否则,你还是选择配置成后者吧。 反正,老司机给你一句忠告就是,千万别配置成XSS-Protection: 1

location = /favicon.ico { access_log off; log_not_found off; }

location = /robots.txt { access_log off; log_not_found off; }

//log_not_found on|off,默认为on:启用或禁用404错误日志,这个指令可以用来禁止nginx记录找不到rebots.txtfavicon.ico这类文件的错误信息。

 




爱吃苹果的牛顿
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
nginx防护规则,拦截非法字符,防止SQL注入、防XSSnginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
云博客_资源宝分享
02-18 3195
nginx防护规则,拦截非法字符,防止SQL注入、防XSSnginx过滤url访问,屏蔽垃圾蜘蛛,WordPress安全代码篇
360星图攻击日志分析.zip
06-19
XSS(Cross Site Scripting)攻击则允许攻击者在用户浏览器上执行恶意脚本,可能导致用户数据泄露、会话劫持等一系列严重后果。360星图工具通过解析和分析日志,可以快速定位这些潜在威胁,从而帮助用户及时采取防范...
项目或者nginx配置中怎么预防XSS攻击
最新发布
keyboard专栏
04-24 878
预防跨站脚本攻击XSS)是网络应用安全的关键部分。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本,通常是通过注入恶意的HTML或JavaScript代码到用户页面上。防止XSS需要在应用程序开发和服务器配置两方面同时进行防护。
关于nginx配置项防止xss攻击的记录
蓝色的天空的博客
04-03 6097
server { ...... //以下两种方式未生效 add_header Content-Security-Policy "default-src 'self' localhost:80 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-XSS-Protection "1; mode=block"; location / { ......
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)
JavaEE菜鸟
07-14 815
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)_普通网友的博客-CSDN博客_nginxxss攻击
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
ideal-lingyun
09-24 800
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
nginx配置Strict Transport Security
weixin_30469895的博客
08-07 1741
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://zt.test.com或者直接zt.test.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,...
第5章-Web应用攻击.pptx
03-31
1. XSS攻击:这种攻击利用了网页允许用户输入脚本的特性,将恶意脚本注入到网页中,当其他用户访问这个页面时,脚本会在他们的浏览器上执行,可能导致信息泄露、会话劫持等危害。 2. SQL注入攻击攻击者通过在Web...
xss平台搭建源码,xss漏洞练习
06-03
XSS(Cross-Site Scripting)是一种常见的网络攻击方式,主要针对Web应用程序,攻击者通过在网页上注入恶意脚本,使用户在不知情的情况下执行这些脚本,从而获取敏感信息或者控制用户的行为。本资源提供了XSS平台的...
web技术程序攻击与网站搭建j.rar
10-12
2. **跨站脚本攻击XSS)**:分为反射型、存储型和DOM型,通过在网页中插入恶意脚本,使用户浏览器执行,盗取用户信息或进行其他恶意操作。 3. **跨站请求伪造(CSRF)**:利用用户的已登录状态,发起对服务器的非...
防止XSS攻击解决办法
01-20
防止XSS攻击简单实用的解决办法,直接复制两个过滤器,然后配置web.xml即可实现
ngnix 漏洞修复文档
03-03
X-XSS-Protection 是一种 HTTP 响应头,用于防止跨站脚本攻击XSS)。通过添加 add_header X-Xss-header “1;mode=block”; 可以解决这个问题。 5. X-Download-Options 响应头缺失 X-Download-Options 是一种 ...
nginx-安全防护、跨域、XSS攻击、点击劫持攻击
小蜗牛的博客
11-30 1170
nginx-安全防护、跨域、XSS攻击、点击劫持攻击
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击,Java集合类中绝对占有一席之地的List
2401_84002542的博客
04-01 1104
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。最后针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题。
通过nginx配置文件抵御攻击
chibang4236的博客
10-10 101
验证浏览器行为 简易版 我们先来做个比喻。 社区在搞福利,在广场上给大家派发红包。而坏人派了一批人形的机器人(没有语言模块)来冒领红包,聪明工作人员需要想出办法来防止红包被冒领。 于是工作人员在发红包之前,会给领取者一张纸,上面写着“红包拿来”,如果那人能念出纸上的字,那么就是人...
为什么我们要使用HTTP Strict Transport Security?
weixin_33982670的博客
01-18 1125
为什么我们要使用HTTP Strict Transport Security?                                wenjian_tk0                                                                                                              2015-05-...
web网站xss攻击预防
bit-cafe
11-20 1271
之前的开发中只是做业务开发,也就不会管这些,现在有机会去考虑做这些事了,也看到项目中有对xss攻击的防范措施,来学习一下: 整个流程: 1、对请求参数进行处理,如果有半角符则把半角符替换为全角符。 2、对请求参数值进行处理,如果请求参数值有半角符则吧半角符替换为全角符。 实现方式: 1、在拦截器中进行拦截处理 2、实现方式是通过重写HttpServletRequestWrapper的方
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
完颜振江
12-12 688
Nginx 防止 SQL 注入、XSS 攻击的实践配置方法
nginxxss攻击配置
07-27
要在nginx配置防止XSS(跨站脚本攻击攻击,可以采取以下措施: 1. 输入过滤:使用nginx的HttpLuaModule模块或HttpHeadersMoreModule模块,对用户输入的内容进行过滤和验证。可以使用正则表达式或其他方法过滤掉可能包含恶意脚本的内容。 2. Content-Security-Policy(CSP):通过设置CSP头来限制浏览器执行恶意脚本。在nginx配置文件中添加以下代码: ``` add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'"; ``` 这将允许只从同一域名下加载脚本,并阻止内联脚本的执行。 3. HTTP Only Cookie:在设置Cookie时,将其标记为HTTP Only,以防止JavaScript访问和操作Cookie。可以在nginx配置中添加以下代码: ``` location / { ... add_header Set-Cookie "cookie_name=cookie_value; HttpOnly"; ... } ``` 4. 静态文件处理:确保通过nginx提供的静态文件服务时,不会执行任何恶意脚本。这可以通过正确配置nginx的静态文件服务来实现。 5. 安全更新和配置:定期更新nginx软件版本,以获取最新的安全修复和功能改进。同时,确保正确配置nginx的安全选项,例如限制访问权限、禁用不必要的模块等。 需要注意的是,以上措施仅为一些常见的防御措施,无法完全消除XSS攻击的风险。因此,还应该采取其他安全措施,如输入验证、输出编码和错误处理等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值