nginx删除不安全的请求头

最新推荐文章于 2025-03-27 09:18:06 发布
最新推荐文章于 2025-03-27 09:18:06 发布
阅读量6.2k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: nginx 文章标签: nginx 安全 java
原文链接:https://www.kancloud.cn/ankang/suyu/744050
本文介绍了如何使用Nginx和Apache作为反向代理来实现HTTP到HTTPS的重定向以及将请求代理到本地服务。在Nginx配置中,设置了监听80和443端口,强制非HTTPS流量转向HTTPS,并将请求转发到本地4567端口。在Apache配置中,同样实现了80端口到HTTPS的重定向,通过ProxyPass指令将请求代理到本地5984端口。

###参考https://veggiespam.com/headers/
###nginx作为反向代理

# Redirect 80 --> 443
server {
    listen 80;
    listen [::]:80;
    server_name veggiespam.com www.veggiespam.com;

    return 301 https://$host$request_uri;
}

# HTTPS proxies to local instance
server {
    listen 443;
    listen [::]:443;
    server_name veggiespam.com www.veggiespam.com

    # Put TLS configuration here

    location / {
        proxy_pass http://localhost:4567;
        proxy_pass_header Set-Cookie;
        proxy_redirect off;
        proxy_set_header Accept-Encoding '';
        proxy_set_header Referer $http_referer;
        proxy_set_header Host $host;
        proxy_http_version 1.1;
# Remove Headers begin
        proxy_hide_header X-Powered-By;
        proxy_hide_header Server;
        proxy_hide_header X-AspNetMvc-Version;
        proxy_hide_header X-AspNet-Version;
# end Remove Headers
        proxy_set_header Cookie $http_cookie;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Server $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_no_cache $http_pragma $http_authorization;
        proxy_cache_bypass $http_pragma $http_authorization;
        proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504 http_404;
    }
}

###Apache作为反向代理

<VirtualHost *:80>
    ServerName www.veggiespam.com
    ServerAdmin evil-kitten@veggiespam.com

    ProxyRequests Off
    ProxyPreserveHost Off
    AllowEncodedSlashes On
    KeepAlive Off

    <Proxy *>
        Order deny,allow
        Allow from all
    </Proxy>

# Remove Headers begin
    Header unset X-Powered-By
    Header unset Server
    Header unset X-AspNetMvc-Version
    Header unset X-AspNet-Version
# end Remove Headers
    ProxyPass / http://localhost:5984/ example
    ProxyPassReverse / http://localhost:5984/
</VirtualHost>
nginx 删除Content-Type
zhaoyangjian724的专栏
11-30 1158
root match!!!!node2:/etc/nginx#curl http://192.168.137.3:5443 -I HTTP/1.1 200 OK Server: nginx/1.17.9 Date: Thu, 27 Aug 2020 17:14:53 GMT Content-Type: text/plain Content-Length: 14 Connection: keep-alive 删除 Content-Type 响应头: proxy_hide_header Content-.
Linux安装Nginx(含去掉Server响应头)
最新发布
P923284735的博客
09-17 421
本文介绍了如何通过编译安装Nginx并加载headers-more模块来隐藏Server响应头信息,以解决安全扫描中发现的"安全的http响应头"漏洞。具体步骤包括:下载Nginx源码和headers-more模块,解压后编译安装,修改nginx.conf配置文件添加"more_clear_headers 'Server'"指令,最后启动Nginx服务并通过curl验证响应头中Server信息是否已成功移除。该方法有效提升了服务器的安全防护能力,防止敏感信息泄露。
Windows版nginx去掉header中server后面的信息(nginx版本1.21.1)
03-02
Windows版nginx去掉header中server后面的信息(nginx版本1.21.1) 使用方法: 1、关闭nginx服务 2、将新的nginx.exe替换原有的exe文件 3、重启nginx服务
openresty headers-more-nginx使用
weixin_43931625的博客
07-15 3140
openresty headers-more-nginx使用
nginx去除serve请求头 aarch64
qq_44989936的博客
09-25 1181
nginx aarch64 去除请求头
nginx会去掉带有下划线的Header键值
稻草人技术博客
05-10 1万+
在本地可以获取前端header传的参数,但是部署到服务器获取的就是null(服务器地址用nginx做了代理)原因: nginxheader name的字符做了限制,默认 underscores_in_headers 为off,表示如果header name中包含下划线,则忽略掉,部署后就获取到。解决: 在header要用 “_” 下划线,可以用驼峰命名或者其他的符号(如减号-)代替。ngi
Nginx去除Server HTTP头,之headers-more-nginx-module使用
热门推荐
zzhongcy的专栏
04-09 1万+
网络安全中,为了泄露敏感信息,一般会屏蔽服务器类型(当然,这时最基础的步骤)。 1、Nginx移除版本信息 如果想关掉 Nginx 关于 OS 和 Nginx 版本的信息,可以简单得再 Nginx 上设置一个: server_tokens off; 配置类似于: user nginx; worker_processes auto; error_log /var/log/nginx/error.log; pid /run/nginx.pid; http { keepalive_tim
nginx处理http请求实例详解
09-30
如果读事件设置了一个定时器,则会将其删除,因为已经接收到了请求行和请求头部,再需要超时处理。然后,会对当前连接的读写事件回调进行重新设置,使得下一次事件发生时可以调用`ngx_http_request_handler`函数来...
Nginx 安全配置与防护策略
01-24 2133
Nginx 安全配置与防护策略
怎样在 Nginx 中配置基于请求方法的访问控制?
发现生活,分享智慧,一起成长!
07-22 1043
Nginx(engine x)是一个高性能的 HTTP 和反向代理服务器,同时也是一个 IMAP/POP3/SMTP 代理服务器。它以其轻量级、高性能、高并发处理能力等优点,在当今的 Web 服务领域占据了重要的地位。打个比方,如果把 Web 服务比作一场繁忙的交通,Nginx 就像是一个智能的交通警察,它能够有效地指挥和疏导流量,确保道路的畅通无阻。在这个数字化的时代,保护我们的网站和应用就如同保护我们的家园一样重要。
nginx安全
技术引领业务创新
03-27 1124
NGINX安全相关设置
Nginx代理时header头中带”_”信息丢失问题的解决
01-10
前言 开发网关项目时,在请求时往请求头header中放入了签名sign_key信息,在接收请求时再从header中拿出,在本地调试时是可以的,但上线之后通过Nginx代理之后发现拿到。 location / { proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Host $http_host; proxy_set_header X-Nginx-Proxy true; add_header Pro
如何在 Nginx 中配置基于请求体内容的路由?
2401_86074221的博客
07-22 1379
通过以上的介绍和示例,相信大家对如何在 Nginx 中配置基于请求体内容的路由有了一个比较清晰的认识。这就像是为我们的 Web 应用打开了一扇新的大门,让我们能够更加灵活、高效地处理各种请求。随着技术的断发展,Nginx 的功能也在断增强和完善。未来,我们可能会看到更加智能、便捷的路由配置方式,为我们的开发工作带来更多的便利。所以,小伙伴们,赶快行动起来,将这些知识运用到实际项目中,让您的 Web 应用如虎添翼,在数字化的浪潮中乘风破浪!🎉相关推荐🍅关注博主🎗️。
nginx去除响应Server标头
RayPick的博客
01-15 1111
【代码】nginx去除响应Server标头。
Nginx定制header头_nginx取出header某个字段并修改,2024年最新2024网络安全笔试题
2401_83621541的博客
04-15 696
headers_more用于添加、设置和清除输入和输出的头信息。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!more_set_input_headers 用于 添加、修改、清除 请求头。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!对于从来没有接触过网络安全的同学,我们帮你准备了详细的。,大家跟着这个大的方向学习准没问题。
Nginx 丢弃指定响应头
cs_mengxi的博客
08-23 2161
发送请求到您的 Nginx 服务器,并检查响应头,验证 header 是否已被丢弃。(通过抓包检查响应头)Nginx 中拦截某个响应并丢弃特定的响应头,可以使用 proxy_hide_header 指令。proxy_hide_header: 用于丢弃指定的响应头。例如,上面的配置丢弃了header1。proxy_pass: 指定请求要转发到的后端服务器。
nginx过滤post请求头_Nginx Header,实现对HTTP/S请求、响应进行添加、修改、删除等操作...
weixin_39525243的博客
12-21 2071
Nginx Header,实现对HTTP/S请求、响应进行添加、修改、删除等操作通过Nginx内置文档地址:http://nginx.org/en/docs/http/ngx_http_headers_module.htmlhttp://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_hide_headerhttp://nginx.o...
http请求时nginx会去掉带有“_”(下划线)的Header键值
wodeshouji6的博客
01-18 1467
问题: 在登录时,请求已经提示成功(此时还没有传递token): 之后,当请求system/menu时(此时应该是携带了token),提示用户未登录。   分析: 1.请求的Request Headers中是带有COP_Authorization的: 2. 但是,查看认证服务的log: c.c.ctsi.security.common.util.TokenUtil  : hea...
Nginx怎么去掉统一的请求头
05-11
### 配置 Nginx 移除特定或统一请求头 在处理 HTTP 请求时,有时需要通过 Nginx 删除或清理某些特定的请求头。这可以通过修改 Nginx 配置文件来实现。以下是详细的说明和配置方法。 #### 1. 使用 `proxy_set_header` 清理请求头Nginx 将客户端请求转发给后端服务器时,可以利用 `proxy_set_header` 指令覆盖或清空指定的请求头[^4]。例如,如果想移除所有的 `Authorization` 头部字段,可以在 `location` 块中这样写: ```nginx server { listen 80; server_name example.com; location / { proxy_pass http://backend; proxy_set_header Authorization ""; # 清空 Authorization 字段 } } ``` 这条指令的作用是告诉 Nginx 在将请求传递给后端之前,把原始请求中的 `Authorization` 头替换为空字符串,从而达到清除的效果[^4]。 #### 2. 批量移除多个请求头 如果有多个同的请求头都需要被移除,可以重复使用 `proxy_set_header` 指令分别针对每一个头部进行操作。比如下面的例子展示了如何去掉两个常见的敏感信息——`User-Agent` 和 `Referer`: ```nginx location / { proxy_pass http://backend; proxy_set_header User-Agent ""; proxy_set_header Referer ""; } ``` 值得注意的是,虽然这种方法简单有效,但对于数量较多的情况可能会显得冗长繁琐。因此建议只保留必要的最少化设置以简化维护成本。 #### 3. 自定义脚本扩展功能(高级) 对于非常复杂的需求场景,单纯依靠标准配置项可能无法满足全部要求。这时可考虑引入外部程序配合完成任务,或者编写 Lua 脚本来增强灵活性。然而这类做法通常涉及更高层次的技术栈理解以及额外的安全考量因素[^5]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值