本文介绍了如何通过Nginx配置来增强网站的安全性,防止XSS和劫持攻击。通过设置X-Frame-Options、X-XSS-Protection和X-Content-Type-Options响应头,可以限制页面的嵌入方式,阻止恶意脚本执行。同时,通过调整log_not_found指令,可以避免记录特定文件的404错误日志。
add_header X-Frame-Options “SAMEORIGIN”;
add_header X-XSS-Protection “1; mode=block”;
add_header X-Content-Type-Options “nosniff”;
iis、apache、nginx使用X-Frame-Options防止网页被Frame的解决方法
修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。
也可在代码中加入,在PHP中加入:
header(‘X-Frame-Options: deny’);
X-XSS-Protection 的字段有三个可选配置值
0: 表示关闭浏览器的XSS防护机制
1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置
1; mode=block:如果检测到恶意代码,在不渲染恶意代码
如果在你的业务场景中,你认为你的程序或系统是不会有XSS漏洞的, 或者是无法承担XSS filter/auditor 特性引发的BUG,那你就选择配置成前者;否则,你还是选择配置成后者吧。 反正,老司机给你一句忠告就是,千万别配置成XSS-Protection: 1
locat
最低0.47元/天 解锁文章
扫一扫
3436
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
