前言
我们在开发web项目时,经常用到nginx做代理转发,项目部署好之后会做安全测评,今天就聊一聊实际项目中的安全漏洞cors跨域资源共享问题如何解决。
一、 漏洞概述
跨域资源共享 CORS 漏洞主要是由于程序员配置不当,对于 Origin 源校验不严格,从而造成跨域问题,攻击者可以利用 CORS 错误配置漏洞,从恶意网站跨域读取受害网站的敏感信息。
二、测试过程
Access-Control-Allow-Origin 可为任意值,应指定具体域名/ip,可以一定程度防止json数据包的CSRF漏洞:
三、修复建议
在 Access-Control-Allow-Origin 报头中仅允许指定的受信任域。
四、解决方案
修改nginx 配置conf文件,限制服务的访问源:
总结
白名单添加访问源ip,非白名单ip访问服务,直接报403.