Nginx配置origin限制跨域请求(应对等保)

已于 2024-03-19 18:40:19 修改
阅读量9.8k 收藏 24
点赞数 8
分类专栏: nginx 文章标签: nginx 运维
于 2023-01-11 10:22:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20236937/article/details/128640137
版权

Nginx配置origin限制跨域请求-应对等保

Nginx需要修复一个CORS安全漏洞
其中单纯的加 “add_header Access-Control-Allow-Origin” 是没有丝毫作用的

表示当前请求资源所在页面的协议和域名,用来说明请求从哪里发起的,如http://test.my.com,
特别注意:
这个参数一般只存在于CORS跨域请求或者 POST 请求中,普通请求没有这个header!
如果有Origin参数,我们可以看到response有对应的header:Access-Control-Allow-Origin
Origin知识点相关链接:
https://juejin.cn/post/6844903954455724045
https://blog.csdn.net/xiaolinlife/article/details/119825880

在这里插入图片描述
在这里插入图片描述
这个需要根据客户端传递的请求头中的Origin值,进行安全的跨站策略配置,目的是对非法的origin直接返回403错误页面,配置如下:

(1) 方法一:http下配置 map指令 (这个可以)

注意:在Nginx中,map指令通常用于定义一个变量映射,它只能放在http块内

1、在http中定义一个通过map指令,定义跨域规则并返回是否合法

http {
    ...
    # 说明:一般使用http_origin来进行跨域控制,当不传递origin头的时候,就为这个里面的默认值,当传递有值得时候,才会走下面得正则匹配
    map $http_origin $allow_cors {
        default 1;
        #以下为提供参考的正则表达式
        "~^https?://.*?\.theorydance\.com.*$" 1;
        "~^(https?://(dmp.xxxxxx.cn)?)$" 1;
        "~http://www.diuut.com" 1;
        "~*" 0;
    }
    server {
        location / {
            if ($allow_cors = 0){
                return 403;
            }
            root /data/deploy;
        }
    }
}

上述规则中,
a.当不传递origin头的时候,就为这个里面的默认值为1,
b.如果orgin的值为https://dmp.xxxxxx.cn或者含“theorydance”的,我们认为是合法的请求,返回数值1,如果是其它值,返回数值0

2、在server中根据$allow_cros的值进行请求拦截

if ($allow_cros = 0){
     return 403;
}

3、在server中添加头部

#指定允许其他域名访问        
add_header Access-Control-Allow-Origin $http_origin;
#允许的请求类型
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
#许的请求头字段
add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";

验证
1.不指定 origin时,请求正常
在这里插入图片描述

2.指定合法 origin时,请求正常
在这里插入图片描述
3.指定非法origin时,请求返回403
在这里插入图片描述

(2) 方法二:server下配置 (这个感觉没有什么作用)

server {
set $cors_origin "";  
if ($http_origin ~* "^http://19.142.15.54$") {  
   set $cors_origin $http_origin?;  
}  

add_header Access-Control-Allow-Origin $cors_origin;

listen       9101;
server_name  localhost;

     location / {
         root   /usr/share/nginx/html/gzt/;
         index  index.html index.htm;
         add_header Access-Control-Allow-Origin $cors_origin;
     }

}

(3) 方法三:server下配置 (这个可以)

Nginx if语法不支持if条件的逻辑与&&逻辑或|| 运算 ,而且不支持if的嵌套语法。
需要借助变量来实现嵌套语法或多条件判断
【1】https://www.cnblogs.com/opensmarty/p/17119003.html

server {
listen       9101;
server_name  localhost;

#如果存在Origin头且Origin头不匹配指定的IP地址模式,那么返回403错误。
set $flag 0;
#Origin有值的情况下。flag为01
if ($http_origin) {
set $flag "${flag}1";
}
#Origin有值且不符合以下判断,flag为012
if ($http_origin !~ "19.166.2.54.*") {
set $flag "${flag}2";
}    
if ($flag = "012") {
return 403;
}

}

首先,根据给出的Nginx配置代码,我们来分析各部分的逻辑:
$flag 初始值为0。
如果 $http_origin 有值,则 $flag 加上 “1”。
如果 $http_origin 的值不匹配正则表达式 “19.166.2.54.*”,则 $flag 加上 “2”。
最后,如果 $flag 的值为 “012”,则返回403。

现在,我们针对给定的情况($http_origin 没有值)进行分析:
由于 h t t p o r i g i n 没有值,第 2 和第 3 个条件都不满足。因此, http_origin 没有值,第2和第3个条件都不满足。因此, httporigin没有值,第2和第3个条件都不满足。因此,flag 保持其初始值0。
所以,如果 $http_origin 没有值,最终 $flag 的值为 “0”。则可以继续往下执行

参考链接
https://www.cnblogs.com/justtosee/p/16987894.html
https://www.cnblogs.com/TheoryDance/p/16277577.html

Slow菜鸟
关注
  • 8
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
01-10
nginx 版本 1.11.3 使用大家说的以下配置,验证无效,跨域问题仍然存在 add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Credentials' 'true'; add_header 'Access-Control-Allow-Methods' 'GET,POST'; 使用以下配置,生效。 if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*';
nginx 配置跨域失效修复的方法示例
01-20
nginx 配置跨域不生效 如下配置 server { listen 80; server_name localhost; # 接口转发 location /api/ { # 允许请求地址跨域 * 做为通配符 add_header 'Access-Control-Allow-Origin' '*'; # 设置请求方法跨域 add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS, PUT, DELETE'; # 设置是否允许 cookie 传输 add_header 'A
Nginx配置跨域请求 Access-Control-Allow-Origin *
qq_27008807的博客
12-23 1万+
当出现403跨域错误的时候 No 'Access-Control-Allow-Origin' header is present on the requested resource,需要给Nginx服务器配置响应的header参数,如下:location / { add_header Access-Control-Allow-Origin *; }
nginx教程:配置项add_header Access-Control-Allow-Origin *的含义
最新发布
高性价比服务器就选:蓝易云
04-29 613
在网络世界中,有一种名为CORS(跨源资源共享)的机制,它允许来自不同源的请求访问服务器上的资源。记住,在网络世界里,“源”就像是你家的地址,“Access-Control-Allow-Origin”就像是你家门口的门铃——只有按对了门铃(即来源正确),才能进入你家(即服务器)。这种配置方式简单易用,但在安全性要求较高的情况下,建议使用具体的URL列表替代“*”。在这个配置项中,“Access-Control-Allow-Origin”是一个HTTP响应头字段,在CORS通信过程中起到关键作用。
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
主要给大家介绍了关于Nginx配置跨域请求Access-Control-Allow-Origin * 的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Nginx具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
Nginx设置Access-Control-Allow-Origin多域名跨域
1193379199的博客
01-08 2142
nginx上的解决方案是配置Access-Control-Allow-Origin来解决,但是要么允许所有,要么允许单个的,都不能解决我的文件,经过一番查找找到了解决方法,为大家介绍的关于nginx设置Access-Control-Allow-Origin多域名跨域的解决方法。可通过如下配制进行多域名的设置。
Access-Control-Allow-Origin跨域问题,使用Nginx配置来解决
wangzuao的博客
06-14 1万+
例如:A服务器是liunx系统部署了一个java程序,B服务器是本地服务器,A服务器需要请求访问B服务器的资源,可以用nginx代理来请求到B服务器的资源。链接: nginx步骤:下载完成后安装运行在A服务器上面,先运行看看有没有问题,这里不细说,然后找到开始配置nginx.conf文件(重点) 一、如何配置你的nginx.conf 添加一个server{},这是你的服务,listen参数是你要监听的端口,这个端口可以自定义,server_name localhost,这个一般就是A服务器的域名地址,记
CORS跨域问题解决
u011925641的博客
09-13 607
CORS跨域问题解决 简介 CORS是一个W3C标准,全称是”跨域资源共享”(Cross-origin resource sharing)。它允许浏览器向跨源(协议 + 域名 + 端口)服务器,发出XMLHttpRequest请求,从而克服了AJAX只能同源使用的限制。 CORS需要浏览器和服务器同时支持。它的通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS通信与同源的...
Nginx配置origin限制跨域请求
Cyufeng的博客
06-26 637
Nginx配置origin限制跨域请求
通过设置响应头解决跨域问题
qq_37436172的博客
11-12 4293
网上很多文章都是告诉你直接Nginx添加这几个响应头信息就能解决跨域,当然大部分情况是能解决,但是我相信还是有很多情况,明明配置上了,也同样会报跨域问题。这大概率是因为,服务端没有正确处理预检请求也就是OPTIONS请求
Access-Control-Allow-Origin跨域解决及详细介绍
热门推荐
weixin_53841730的博客
01-31 3万+
我们能不能想办法,让我们的请求不通过ajax,而是通过给body中追加一个节点,这个节点的src值就是我们希望的要请求的目标接口,这样,服务器端返回的数据不就绕过这个跨域限制,将数据拿回来了。首先,跨域不是问题。跨域并不会阻止请求的发出,也不会阻止请求的接受,跨域是浏览器为了保护当前页面,你的请求得到了响应,浏览器不会把响应的数据交给页面上的回调,取而代之的是去提示你这是一个跨域数据。而当你上线项目时,如果你的代理配置得不够优雅,或者不够标准,你要小心了,非常有可能你的请求就都会失败。
Nginx服务器中处理AJAX跨域请求配置方法讲解
01-10
Nginx 实现AJAX跨域请求 AJAX从一个域请求另一个域会有跨域的问题。那么如何在nginx上实现ajax跨域请求呢?要在nginx上启用跨域请求,需要添加add_header Access-Control*指令。如下所示: location /{ add_header ...
Nginx实现跨域使用字体文件的配置详解
09-30
Nginx作为一款高性能的HTTP和反向代理服务器,可以通过配置来允许跨域请求,使得字体文件可以在不同的域名下正常显示。本文将详细介绍如何在Nginx配置以解决跨域使用字体文件的问题。 首先,我们需要了解问题的...
nginx服务器配置解决ajax的跨域问题
09-30
本文将详细介绍如何通过Nginx配置来允许跨域请求。 首先,理解跨域问题的本质。同源策略是浏览器为保证安全而设置的一项规定,它禁止不同源的脚本之间共享数据,这里的“源”指的是协议、域名和端口的组合。当一个...
Nginx 轻松搞定跨域问题
qq_45635347的博客
06-28 1万+
最后再说一种情况,就是后端处理了跨域,就不需要自己在处理了(这里吐槽下,某些后端工程师自己改服务端代码解决跨域,但是又不理解其中原理,网上随便找段代码黏贴,导致响应信息可能处理不完全,如method没添加全,headers没加到点上,自己用的那个可能复制过来的并不包含实际项目所用到的,没有添加options请求返回状态码等,导致Nginx再用通用的配置就会可能报以下异常)里面的就好了,因为这里如果是预检请求直接就ruturn了,请求不会再转发到59200服务,如果也删除了,就会报和情况1一样的错误。
解决你的 Nginx 代理跨域问题详细完整版
好技术,多分享
12-19 3958
如果不加上content-type,则会报如下错误。意思就是预请求响应头Access-Control-Allow-Headers中缺少头信息authorization(各种情况会不一样,在发生跨域后,在自定义添加的头信息是不允许的,需要添加到请求响应头Access-Control-Allow-Headers中,以便浏览器知道此头信息的携带是服务器承认合法的,我这里携带的是authorization,其他的可能是token之类的,缺什么加什么),知道了问题所在,然后修改配置文件,添加对应缺少的部分,再试试。
nginx学习】跨域问题解决方案
fxkcsdn的博客
06-25 421
什么是跨域 cookie 客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。cookie是不可以跨域名的,隐私安全机制禁止网站非法获取其他网站的Cookie 同源策略 同源是指“协议+域名+端口号”三者相同,同源策略是一种约定,有Netscape公司1995年引入浏览器,它是浏览器最基本
已解决:前端直传阿里oss报错跨域问题,“No ‘Access-Control-Allow-Origin‘”,这个错误基本就是在阿里的开放平台没做规则配置(附我封装的上传源码)
Spy003的博客
04-29 8733
就直接上阿里oss管理后台去增加一个跨域规则:见图片,特详细配置成这样点确定就好了,就这么简单。
spring项目解决跨域问题
qq_34763130的博客
10-15 377
通过过滤器解决 import org.springframework.stereotype.Component; import javax.servlet.*; import javax.servlet.http.HttpServletResponse; import java.io.IOException; /** * @author whh * @date 2019/10/15 */ ...
nginx配置忽略跨域请求
09-09
配置Nginx以忽略跨域请求,你可以通过以下步骤进行设置: 1. 打开Nginx配置文件,通常位于/etc/nginx/nginx.conf。 2. 在http块中添加一个变量$allow_cors来控制是否允许跨域请求。默认情况下,将该变量设置为1,表示允许跨域请求。 3. 添加一个server块来监听特定的端口(例如8180)。 4. 在server块内添加一个if语句来检查$allow_cors变量的值。如果$allow_cors等于0,则返回403禁止访问。 5. 配置location指令来指定需要处理的路径。你可以使用正则表达式来匹配路径,如"/index"和"/accusation"。 6. 在location块内使用proxy_pass指令将请求转发给后端服务。 7. 保存和关闭配置文件。 8. 重新启动Nginx服务,使配置生效。 以下是一个示例配置: ```nginx worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; map $http_origin $allow_cors { default 1; "~^(https?://(localhost)(:[0-9])?)$" 1; "~*" 0; } server { listen 8180; if ($allow_cors = 0) { return 403; } location / { root html; index index.html index.htm; } location /index { proxy_pass http://localhost:8080/accusation; } location /accusation { proxy_pass http://localhost:8080/accusation; } } } ``` 另外,你还可以使用正则表达式来匹配指定的路径并禁止跨域请求。下面是一个示例配置: ```nginx worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type application/octet-stream; sendfile on; keepalive_timeout 65; map $http_origin $allow_cors { default 1; "~^(https?://(localhost)(:[0-9])?)$" 1; "~*" 0; } server { listen 8180; if ($request_uri ~ ^accu.*$) { set $allow_cors "2$allow_cors"; } if ($allow_cors = "21") { return 403; } location / { root html; index index.html index.htm; } location /index { proxy_pass http://localhost:8080/accusation; } location /accusation { proxy_pass http://localhost:8080/accusation; } } } ``` 这样配置后,Nginx将忽略跨域请求,并只允许特定的请求通过。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值