nginx实现CSRF和XSS防御

   版权声明：本文为博主原创文章，未经博主允许不得转载。

nginx实现CSRF和XSS防御

 最近，因为公司任务要求，搞了一下nginx配置。任务要求是实现CSRF和XSS防护，至于什么是CSRF和XSS请自行学习一下。首先需要解释的是，这里所提到的CSRF和XSS防御全是基于后台基于Nginx配置。

1.CSRF防御

网上搜一下解决方案大概是有四种：

（1）验证HTTP Referer 字段

（2）在请求地址中添加token并验证

（3）在HTTP头中自定义属性并验证

（4） Chrome浏览器端启用SameSite cookie

以上四种方法：方法二难点在于如何把 token 以参数的形式加入请求，并且该方法有一个缺点是难以保证 token 本身的安全。方法3局限性非常大。XMLHttpRequest 请求通常用于 Ajax 方法中对于页面局部的异步刷新，并非所有的请求都适合用这个类来发起，而且通过该类请求得到的页面不能被浏览器所记录下，从而进行前进，后退，刷新，收藏等操作，给用户带来不便。另外，对于没有进行 CSRF 防护的遗留系统来说，要采用这种方法来进行防护，要把所有请求都改为XMLHttprequest请求，这样几乎是要重写整个网站，这代价无疑是不能接受的。方法四显然是有很大的局限性。因此我采用了方法1来实现CSRF的防御，方法一实现起来更简单。然而，这种方法并非万无一失。Referer 的值是由浏览器提供的，虽然 HTTP 协议上有明确的要求，但是每个浏览器对于 Referer 的具体实现可能有差别，并不能保证浏览器自身没有安全漏洞。使用验证 Referer 值的方法，就是把安全性都依赖于第三方（即浏览器）来保障，从理论上来讲，这样并不安全。事实上，对于某些浏览器，比如 IE6 或 FF2，目前已经有一些方法可以篡改 Referer 值。如果 www.bank.example网站支持 IE6 浏览器，黑客完全可以把用户浏览器的 Referer 值设为以 www.bank.example域名开头的地址，这样就可以通过验证，从而进行 CSRF 攻击。