HTTP_ORIGIN 说明

最新推荐文章于 2025-03-07 22:46:03 发布
最新推荐文章于 2025-03-07 22:46:03 发布
阅读量2.8w 收藏 12
点赞数 6
分类专栏: 运维 php 优化
本文探讨了使用Origin字段作为防止跨站请求伪造(CSRF)攻击的一种方法。Origin字段仅在POST请求中存在,相较于Referer字段,它更加注重用户隐私保护,仅包含请求的来源信息而不涉及具体路径和内容。文章详细分析了Origin字段的安全性和实施策略,包括服务端如何处理Origin字段以及浏览器端的实现方式。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转自 http://blog.sina.com.cn/s/blog_625f850801015tik.html

为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。

隐私方面:这种Origin字段的方式比Referer更人性化,因为它尊重了用户的隐私。

1、Origin字段里只包含是谁发起的请求,并没有其他信息 (通常情况下是方案,主机和活动文档URL的端口)。跟Referer不一样的是,Origin字段并没有包含涉及到用户隐私的URL路径和请求内容,这个尤其重要。

2、Origin字段只存在于POST请求,而Referer则存在于所有类型的请求。

随便点击一个超链接(比如从搜索列表里或者企业intranet),并不会发送Origin字段,这样可以防止敏感信息的以外泄露。

在应对隐私问题方面,Origin字段的方法可能更能迎合用户的口味。

服务端要做的:用Origin字段的方法来防御CSRF攻击的时候,网站需要做到以下几点:

1、在所有能改变状态的请求里,包括登陆请求,都必须使用POST方法。对于一些特定的能改变状态的GET请求必须要拒绝,这是为了对抗上文中提到过的论坛张贴的那种危害类型。

2、对于那些有Origin字段但是值并不是我们希望的(包括值为空)请求,服务器要一律拒绝。比如,服务器可以拒绝一切Origin字段为外站的请求。

安全性分析:虽然Origin字段的设计非常简单,但是用它来防御CSRF攻击可以起到很好的作用。

1、去掉Origin字段。由于支持这种方法的浏览器在每次POST请求的时候都会带上源header,那么网站就可以通过查看是否存在这种Origin字段来确定请求是否是由支持这种方法的浏览器发起的。这种设计能有效防止攻击者将一个支持这种方法的浏览器改变成不支持这种方法的浏览器,因为即使你改变浏览器去掉了Origin字段,Origin字段还是存在,只不过值变为空了。这跟Referer很不一样,因为Referer 只要是在请求里去掉了,那服务器就探测不到了。

2、DNS重新绑定。在现有的浏览器里面,对于同站的XMLHttpRequests,Origin字段可以被伪造。只依赖网络连接进行身份验证的网站应当使用在第2章里提到的DNS重新绑定的方法,比如验证header里的Host字段。在使用Origin字段来防御CSRF攻击的时候,也需要用到DNS重新绑定的方法,他们是相辅相成的。当然对于在第四章里提到的CSRF防御方法,也需要用到DNS重新绑定的方法。

3、插件。如果网站根据crossdomain.xml准备接受一个跨站HTTP请求的时候,攻击者可以在请求里用Flash Player来设置Origin字段。在处理跨站请求的时候,token验证的方法处理的不好,因为token会暴露。为了应对这些攻击,网站不应当接受不可信来源的跨站请求。

4、应用。Origin字段跟以下四个用来确定请求来源的建议非常类似。Origin字段以下四个建议的基础上统一并改进了,目前已经有几个组织采用了Origin字段的方法建议。

? Cross-Site XMLHttp Request。Cross-Site XMLHttp Request的方法规定了一个Access-Control-Origin 字段,用来确定请求来源。这个字段存在于所有的HTTP方法,但是它只在XMLHttpRequests请求的时候才会带上。我们对Origin字段的设想就是来源于这个建议,而且Cross-Site XMLHttp Request工作组已经接受我们的建议愿意将字段统一命名为Origin。

?XDomainRequest。在Internet Explorer 8 Beta 1里有XDomainRequest的API,它在发送HTTP请求的时候将Referer里的路径和请求内容删掉了。被缩减后的Referer字段可以标识请求的来源。我们的实验结果表明这种删减的Referer字段经常会被拒绝,而我们的Origin字段却不会。微软已经发表声明将会采用我们的建议将XDomainRequest里的删减Referer更改为Origin字段。

? JSONRequest。在JSONRequest这种设计里,包含有一个Domain字段用来标识发起请求的主机名。相比之下,我们的Origin字段方法不仅包含有主机,还包含请求的方案和端口。JSONRequest规范的设计者已经接受我们的建议愿意将Domain字段更改为Origin字段,以用来防止网络攻击。

? Cross-Document Messaging。在HTML5规范里提出了一个建议,就是建立一个新的浏览器API,用来验证客户端在HTML文件之间链接。这种设计里面包含一个不能被覆盖的origin属性,如果不是在客户端的话,在服务端验证这种origin属性的过程与我们验证origin字段的过程其实是一样的。

具体实施:我们在服务器和浏览器端都实现了利用origin字段的方法来防止CSRF攻击。在浏览器端我们的实现origin字段方式是,在WebKit添加一个8行代码的补丁,Safari里有我们的开源组件,Firefox里有一个466行代码的插件。在服务器端我们实现origin字段的方式是,在ModSecurity应用防火墙里我们只用3行代码,在Apache里添加一个应用防火墙语言(见图4)。这些规则在POST请求里能验证Host字段和具有合法值的origin字段。在实现这些规则来防御CSRF攻击的时候,网站并不需要做出什么改变,而且这些规则还能确保GET请求没有任何攻击性(前提是浏览器端已经实现了origin字段方法)。

HTTP 头部- Origin Referer
青衫客36的博客
02-19 3203
Origin请求头部是一个 HTTP 头部,它提供了发起请求的网页的源(协议、域名和端口)信息。它通常在进行跨域资源共享(CORS)请求时使用,以便服务器可以决定是否接受请求。假设我们在浏览器的地址栏输入并访问,这个网站上有一个 AJAX 请求,该请求需要从获取数据。当这个 AJAX 请求被发出时,浏览器会自动添加一个Origin服务器会检查这个Origin头部,根据设置的 CORS 策略来决定是否允许这个请求。如果 CORS 策略允许来自的请求,服务器将响应数据并在响应头部中包含适当的头部。
Origin字段 Header 为了防止CSRF的攻击
xiejin2008的专栏
07-08 6041
为了防止CSRF的攻击,我们建议修改浏览器在发送POST请求的时候加上一个Origin字段,这个Origin字段主要是用来标识出最初请求是从哪里发起的。如果浏览器不能确定源在哪里,那么在发送的请求里面Origin字段的值就为空。隐私方面:这种Origin字段的方式比Referer更人性化,因为它尊重了用户的隐私。1、Origin字段里只包含是谁发起的请求,并没有其他信息 (通常情况下是方案,主...
Nginx解决前端跨域问题
m0_74823827的博客
03-07 1413
通过 Nginx 配置 CORS 头部信息,可以有效解决前端跨域问题,允许前端应用从不同的域名、协议或端口请求资源。在配置过程中,需要仔细考虑安全性、性能优化和管理的易用性,以确保跨域请求的安全和高效处理。Nginx 强大的配置能力使其能够灵活应对各种跨域需求,为前端应用提供强有力的支持。
HTTPOrigin
OceanStar的博客
07-30 325
Web内容的源由用于访问它的URL的方案(协议)、主机(域名)和端口定义。只有当方案、主机和端口都匹配时,两个对象才具有相同的起源- 某些操作仅限于同源内容,而使用CORS可以解除这个限制。 下表给出了与 URLhttp://store.company.com/dir/page.html的源进行对比的示例: URL 结果 原因 http://store.company.com/dir2/other.html 同源 只有路径不同 http://store.company.com/dir/i
httporigin和 referer
weixin_42600407的博客
01-15 1380
HTTPOrigin 和 Referer 是 HTTP 请求头中的两个字段。 Origin请求的来源,表示请求的页面的源地址。 Referer 是引用的来源,表示请求来源的页面地址。 两者的区别在于,Origin请求页面的源地址,而 Referer 是请求来源的页面地址。例如,当用户在浏览器中点击链接访问一个页面时,Origin 就是用户所在的页面,而 Referer 是点击的链...
HTTPOrigin
yjjddd85的博客
04-08 4368
Origin 用来说明请求从哪里发起的,包括,且仅仅包括协议和域名。 这个参数一般只存在于CORS跨域请求中,可以看到response有对应的header:Access-Control-Allow-Origin。 通过httpClient登陆某网页成功后,返回了一个200,页面提示登陆成功,却没有跳转。但是通过网页登陆时,会返回一个302,自动跳转。抓包对比了很长时间,发现在网页返回时,H...
origin7_使用说明
08-29
### Origin7 使用说明详解 #### 一、Origin7 软件概述 ##### 1.1 软件介绍 **Origin** 是一款由美国 Microcal 公司开发的数据分析与绘图软件,其最新版本为 7.0。该软件广泛应用于科学研究、工程技术和商业分析等...
php跨域完美解决方案
weixin_51434199的博客
03-15 718
PHP跨域问题完美解决代码 $origin = isset($_SERVER['HTTP_ORIGIN']) ? $_SERVER['HTTP_ORIGIN'] : '*'; //当前请求的域名 header("Access-Control-Allow-Origin:".$origin); //如果$origin为*号时,则跨域访问不支持cookie的发送 header("Access-Control-Allow-Methods:POST,GET,OPTIONS");//允许请求的类型 header("Ac
Nginx配置origin限制CORS跨域漏洞(应对等保渗透)
io_123io_123的博客
08-15 2230
Nginx配置origin限制CORS跨域漏洞(等保测评扫描反复扫到)
深入的了解Nginx
empty_csx的博客
04-08 898
今天我们来谈谈什么是Nginx? 文章目录一、什么是Nginx二、Nginx架构原理三、反向代理3.1 概念3.2 什么是正向代理3.3 正向代理VS反向代理四、工作流程五、优点保护了真实的web服务器,保证了web服务器的资源安全节约了有限的IP地址资源减少WEB服务器压力,提高响应速度其他优点六、Nginx模块划分七、模块处理Nginx请求处理8.1 Master进程的作用是?8.2 Worker进程的作用是?8.3 Nginx如何做到热部署?8.4 Nginx如何做到高并发下的高效处理?8.5 N
origin中文版使用说明
03-25
### Origin中文版使用说明知识点详解 #### 一、Origin软件简介 - **开发背景与版本**: Origin是由美国Microcal公司研发的一款专业级别的数据分析与绘图软件。目前的最高版本为7.0,广泛应用于科学研究、工程技术和...
HTTP Referer&Origin
晴天的博客
06-30 566
Referer HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器当前服务请求 是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。 Origin HTTP 协议中的 Origin 存在于请求中,用于指明当前请求来自于哪个站点。 当我们的浏览器发出跨站请求时,行为正确的服务器会校验当前请求是不是来自被允许的站点。服务器就是通过 Origin 字段的值来进行的判断。主要用于CORS。 ...
Origin
weixin_63490470的博客
08-13 1427
Origin头部是HTTP请求中用来标识跨源请求原始域的重要字段。它对于CORS策略的安全实施至关重要,有助于保护网站免受跨站请求伪造和其他安全风险。服务器可以根据Origin头部来决定是否允许跨源请求,以及是否需要设置相应的响应头部来允许跨源访问。
配置https后403的问题
解牛
11-25 6704
这里写自定义目录标题配置h新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 配置h 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一
http】2、http request header Origin 属性、跨域 CORS、同源、nginx 反向代理、预检请求
呆呆的猫的博客
02-07 3524
介绍 origin、跨域的定义、和解决方案:nginx 反向代理、或 后端 response header
HTTP头字段
T_Tzz的博客
03-20 1827
HTTP头字段是超文本传输​​协议(HTTP)中请求和响应消息头部分的组成部分。他们定义了HTTP事务的操作参数。 一般格式 标题字段在请求或响应行之后传输,这是消息的第一行。标题字段是以明文字符串格式由冒号分隔的名称 - 值对,以回车符(CR)和换行符(LF)字符序列结尾。标题部分的结尾由空字段(行)表示,导致两个连续CR-LF对的传输。过去,长线可以折成多行,作为下一行的第一个字符的...
HTTPOrigin和Referer的区别?
Learn-anything.cn
11-24 5583
一、简介 HTTP 协议,用 Header 中的 Origin 和 Referer 来表示请求链接的来源,他们在使用上有些区别。 二、Origin 详解 Origin 指示了请求来自于哪个站点,只有服务器名,不包含路径信息,浏览器自动添加到http请求 Header 中,无需手动设置。 1、添加 Origin 的情况 同源请求:POST、OPTIONS、PUT、PATCH 和 DELETE请求都会添加Origin请求头,GET或HEAD请求不会添加Origin请求头。 跨域请求:所有跨域请求(CORS
HTTP请求头中,Referer、Host和Origin字段有不同的作用和含义
Keep trying, keep going
04-29 2321
例如,当用户从页面A点击一个链接访问页面B时,浏览器发起对页面B的请求会包含Referer字段,值为页面A的URL。
HTTP Headers 之 Origin跨域访问一定要加上这个header
热门推荐
前路无畏的博客
03-06 2万+
1.跨域访问 概念 HTTP 协议中的 Origin Header 存在于请求中,用于指明当前请求来自于哪个站点。 字段内容 Origin 仅仅包含站点信息,不包含任何路径信息。 语法 Origin: "" Origin: "<schema>://<host>[:port]" // 例如 Origin: "https://baidu.com" // 错误示范,包含了路径信息 Origin: "https://baidu.com/" 应用 CORS 当我们的浏览器发出跨站请求时,行为
server { listen 8078 ssl; server_name auditsmart.chinatowercom.cn; # SSL证书配置 ssl_certificate /path/to/ssl.crt; ssl_certificate_key /path/to/ssl.key; location /ai-api/ { # 代理到目标地址(注意末尾斜杠) proxy_pass http://ai.chinatowercom.cn:49987/; # 核心CORS配置 add_header Access-Control-Allow-Origin $http_origin always; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS' always; add_header Access-Control-Allow-Headers 'DNT,User-Agent,X-Requested-With,Content-Type,Authorization' always; add_header Access-Control-Allow-Credentials 'true' always; # 处理OPTIONS预检请求 if ($request_method = 'OPTIONS') { return 204; } } }
最新发布
03-19
<think>好的,我现在要分析用户提供的这个Nginx服务器配置。首先,用户希望了解这段配置的功能和各个部分的作用。我需要逐步拆解,确保自己理解每个指令的意义,同时用中文清晰地解释出来。 首先,整体结构来看,这是一个server块,用于定义一个虚拟主机。监听端口是8078,并且启用了SSL,所以这是一个HTTPS服务。server_name指定了域名,这应该是指向该服务的域名。接下来是SSL证书的配置,指定了证书和私钥的路径。这部分比较基础,但需要确认路径是否正确,用户可能需要检查证书路径是否存在。 然后是location块,匹配/ai-api/路径的请求。这里配置了反向代理,将请求转发到另一个后端服务,即http://ai.chinatowercom.cn:49987/。注意到proxy_pass的URL末尾有斜杠,这意味着在转发时会去掉location匹配的部分,比如请求/ai-api/test会被转发到http://ai.chinatowercom.cn:49987/test。这点可能需要提醒用户注意路径是否正确拼接。 接下来是CORS相关的配置。add_header指令设置了多个响应头,允许跨域请求。Access-Control-Allow-Origin使用了$http_origin变量,动态匹配请求的来源,这样更灵活。但需要注意,如果允许任意来源可能会有安全风险,但这里用了always参数确保即使出错也返回这些头。另外,允许的方法包括GET、POST和OPTIONS,头部字段也涵盖了常用的几种,包括Authorization,这样前端可以携带认证信息。Allow-Credentials设置为true,说明允许携带cookie等凭证,这时Access-Control-Allow-Origin不能是通配符*,而必须指定具体来源,这里使用动态来源是合适的。 处理OPTIONS预检请求的部分,使用if判断请求方法是否为OPTIONS,直接返回204。这种处理方式是标准的,但需要注意的是在Nginx中使用if可能会有性能问题,不过在这种情况下,由于只检查请求方法,可能影响不大。不过也可以建议用户改用更高效的方式,比如使用limit_except指令,但现有的配置在功能上是正确的。 需要检查是否有潜在的安全隐患。比如SSL的配置是否只支持安全的协议和加密套件,但用户提供的配置中没有ssl_protocols或ssl_ciphers的设置,可能需要建议用户添加这些以增强安全性。此外,是否应该限制Access-Control-Allow-Origin的具体来源,而不是动态允许所有来源,这取决于实际需求,但用户当前配置允许任何来源,可能存在CSRF风险。 另外,proxy_pass后面的URL末尾的斜杠是否正确处理了路径。例如,如果location是/ai-api/,而proxy_pass是http://backend/,那么请求的URI会被替换。这部分需要确认用户是否理解路径重写的规则,避免出现404问题。 总结一下,这个配置的主要功能是在8078端口提供HTTPS服务,将/ai-api/下的请求代理到后端服务,同时配置了CORS以允许跨域请求。可能需要注意SSL的安全配置、CORS的来源限制以及路径重写是否正确。</think>以下是对该Nginx服务器配置的逐层解析: ### 一、基础服务配置 1. **监听设置** $$server { listen 8078 ssl;$$ - 监听`8078`端口并启用SSL加密 - 同时支持HTTP/HTTPS请求(隐含`ssl`参数包含`http2`特性) 2. **域名绑定** $$server_name auditsmart.chinatowercom.cn;$$ - 仅响应域名`auditsmart.chinatowercom.cn`的请求 3. **SSL证书配置** ```nginx ssl_certificate /path/to/ssl.crt; ssl_certificate_key /path/to/ssl.key; ``` - 证书路径需要替换为实际文件路径 - 建议补充SSL协议版本限制(如`ssl_protocols TLSv1.2 TLSv1.3;`) ### 二、反向代理配置 ```nginx location /ai-api/ { proxy_pass http://ai.chinatowercom.cn:49987/; } ``` - 路径匹配规则:`/ai-api/`开头的请求都会被代理 - 代理行为示例: $$ \text{原始请求} \rightarrow \frac{\text{代理目标地址}}{/ai-api/test} \Rightarrow http://ai.chinatowercom.cn:49987/test $$ ### 三、CORS跨域配置 1. **核心响应头** ```nginx add_header Access-Control-Allow-Origin $http_origin always; add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS' always; add_header Access-Control-Allow-Headers 'DNT,User-Agent,X-Requested-With,Content-Type,Authorization' always; add_header Access-Control-Allow-Credentials 'true' always; ``` - 动态设置请求来源($http_origin变量) - 允许携带凭证(cookies/HTTP认证) - `always`确保所有响应(包括4xx/5xx)都携带CORS头 2. **预检请求处理** ```nginx if ($request_method = 'OPTIONS') { return 204; } ``` - 直接响应`204 No Content`给OPTIONS请求 - 符合浏览器预检请求处理规范 ### 四、安全增强建议 1. **SSL强化配置**(建议补充) ```nginx ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; ``` 2. **访问控制**(按需添加) ```nginx # 限制CORS白名单 if ($http_origin !~* "^https?://(allowed.domain.com|localhost)") { return 403; } ``` ### 五、典型工作流程 1. 浏览器发送`OPTIONS`预检请求 $$\begin{cases} \text{请求头包含} & Origin \\ & Access-Control-Request-Method \\ & Access-Control-Request-Headers \end{cases}$$ 2. Nginx响应`204`并返回CORS头 3. 浏览器发送实际请求(GET/POST) 4. 代理请求到后端服务,附加CORS头返回响应 建议使用`curl -I`命令测试CORS配置有效性,并通过浏览器开发者工具验证跨域请求处理流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值