通过Nginx设置响应头信息,解决Web应用漏洞

最新推荐文章于 2024-06-04 15:58:35 发布
最新推荐文章于 2024-06-04 15:58:35 发布
阅读量1.6k 收藏 16
点赞数 6
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52956719/article/details/137234820
版权

响应头:HTTP X-XSS-Protection缺失

解决方案:

add_header X-XSS-Protection 1;

解析:

此响应头用来防范xss攻击

0:禁用XSS保护;

1:启用XSS保护;

1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

响应头:X-Frame-Options Header未配置

解决方案:

add_header X-Frame-Options SAMEORIGIN always;

解析:

此响应头用来防范点击劫持攻击

1:DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2:SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3:ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

响应头:HTTP X-Content-Type-Options缺失

解决方案:

add_header X-Content-Type-Options 'nosniff';

解析:

缺少 X-Content-Type-Options,意味着此网站更易遭受跨站脚本攻击(XSS)

nosniff 只应用于以下两种情况的请求将被阻止:

1:请求类型是 style 但是 MIME 类型不是 text/css。

2:请求类型是 script 但是 MIME 类型不是 JavaScript MIME 类型。

响应头:HTTP Referrer-Policy缺失

解决方案:

add_header Referrer-Policy  "no-referrer-when-downgrade";

解析:

用于过滤 Referrer 报头内容

1:no-referrer-when-downgrade:当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

2:no-referrer:不传递 Referrer 报头的值。

3:same-origin:同源才会传递 Referrer。

4:origin:将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

5:strict-origin:类似于origin,但不能降级

6:origin-when-cross-origin:跨域时和origin模式相同,否则 Referrer 还是传递当前页的全路径。

7:strict-origin-when-cross-origin:类似于origin-when-cross-origin,但不能降级

8:unsafe-url:任意情况下,都发送当前页的全部地址到 Referrer,宽松和不安全的策略。

响应头:HTTP Content-Security-Policy缺失

解决方案:

add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval' blob: data: ;";

解析:

用于检测并削弱某些特定类型的攻击,包括跨站脚本和数据注入攻击等

1:default-src 默认策略,可以应用于所有请求

2:* 允许任意地址的url

3:unsafe-inline 允许行内代码执行

4:unsafe-eval 允许不安全的动态代码执行,JavaScript的 eval()方法

响应头:HTTP X-Permitted-Cross-Domain-Policies缺失

解决方案:

add_header X-Permitted-Cross-Domain-Policies  "master-only" always;

解析:

一种安全策略,用于控制其他域名可以如何使用当前域名的资源。

1:"master-only"表示只允许当前域名的主站点使用该站点的资源,其他域名不允许使用。

2:添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

响应头:HTTP X-Download-Options缺失

解决方案:

add_header X-Download-Options noopen;

解析:

一种安全策略,用于防止直接打开用户下载

1:noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。

会话Cookie中缺少HttpOnly、secure属性

解决方案:

add_header Set-Cookie  "HttpOnly";
add_header Set-Cookie  "Secure";

解析:

Secure属性:Cookie通信只限于加密传输,指示浏览器仅仅在通过安全/加密连接才能使用该Cookie。

HttpOnly属性:指示浏览器不要在除HTTP(和HTTPS)请求之外暴露Cookie

示例:

http{
    server{
        add_header Set-Cookie  "HttpOnly";
        add_header Set-Cookie  "Secure";
        add_header X-XSS-Protection 1;
        add_header X-Frame-Options SAMEORIGIN always;
        add_header X-Content-Type-Options 'nosniff';
        add_header Referrer-Policy  "no-referrer-when-downgrade";
        add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-        eval' blob: data: ;";
        add_header X-Permitted-Cross-Domain-Policies  "master-only" always;
        add_header X-Download-Options noopen;        
    }

}
南瓜小米粥、
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx设置响应header的content-type
风静如云的博客
11-17 1万+
会导致响应中有两个content-type,一个是image/jpeg,另一个是application/octet-stream。Nginx通常根据/etc/nginx/mime.types文件中类型设置content-type。如果需要可以对location进行正则匹配,这样可以根据需要返回响应Content-Type。那么当下载图片,浏览器会在窗口内直接显示图片,而不是另存为文件
nginx解决不必要的 Http 响应漏洞(自定义server信息及隐藏版本号)
weixin_43872895的博客
05-10 2942
nginx解决不必要的 Http 响应漏洞(自定义server信息及隐藏版本号)
隐藏nginx响应中的server信息(HTTP服务器版本信息泄漏)
最新发布
jugt的博客
06-04 699
安全审计中有会有漏洞名称 HTTP服务器版本信息泄漏 漏洞描述目标服务器返回的信息中包含了Web Server的软件或者版本信息。可以安装 nginx的headers-more-nginx-module模块修改或隐藏响应信息
Nginx配置各种响应防止XSS,点击劫持,frame恶意攻击,Java集合类中绝对占有一席之地的List
2401_84002542的博客
04-01 1142
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。最后针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题。
如何在Nginx中配置HTTP安全响应
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
通过Nginx设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
ztnhnr的专栏
11-02 1万+
在前面的文章中“谷歌浏览器Chrome 80版本默认SameSite导致跨域请求Cookie丢失”,我们知道 Chrome 升级到80版本后,默认限制了跨域携带cookie给后端。我们也提到了可以修改Chrome的设置或在服务端添加SameSite设置解决,但是普通的Web框架需要升级到最新版本才支持SameSite属性,升级Web框架成本太高,因此本文使用Nginx解决SameSite问题的办法(需要使用Nginx反向代理站点)。 一、Cookie安全相关属性 HttpOn...
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
nginx 修改Response Headers
weixin_35751194的博客
01-09 1545
要修改nginx响应,可以使用nginx的add_header指令。 例如,要在所有响应中添加一个X-Powered-By,可以使用如下配置: add_header X-Powered-By "My App" always;
HTTP请求Header分析
coach
01-27 3117
客户端HTTP请求的Header信息 1、HTTP请求方式 GET 向Web服务器请求一个文件 POST 向Web服务器发送数据让Web服务器进行处理 PUT 向Web服务器发送数据并存储在Web服务器内部 HEAD 检查一个对象是否存在 DELETE 从Web服务器上删除一个文件 CONNECT 对通道提供支持 TRACE 跟踪到服务器的路径 O...
nginx 隐藏版本号与WEB服务器信息解决方法
09-30
在网络安全日益重要的今天,隐藏服务器信息,特别是像Nginx这样的Web服务器的版本号,是一项基本的安全措施。这是因为,公开的版本信息可能会暴露服务器的弱点,让潜在的攻击者了解其可能存在的漏洞,从而有针对性地...
nginx/apache/php隐藏http部版本信息的实现方法
09-30
在网络安全领域,隐藏服务器软件版本信息是常见的安全实践,因为这些信息可能会被恶意攻击者利用,帮助他们了解服务器的漏洞并针对性地发起攻击。本文将详细介绍如何在Nginx、Apache和PHP中隐藏HTTP部的版本信息,...
lua版waf web防火墙 redis+nginx
06-23
Web应用程序防火墙(WAF)的主要目的是保护网站免受各种恶意攻击,如SQL注入、跨站脚本攻击(XSS)、文件包含漏洞等。通过在HTTP/HTTPS流量和服务器之间设置一层过滤,WAF可以识别并阻止潜在的恶意请求。 **Redis**...
Web应用安全:Web应用服务器.pptx
06-19
严格意义上的Web服务器,如Nginx、Apache、IIS,主要负责发送静态页面内容,而动态内容的处理则需要通过CGI、FastCGI、ISAPI等接口交给应用服务器来完成。应用服务器如WebLogic、JBoss不仅支持HTTP协议,还具备更...
ngnix 漏洞修复文档
03-03
错误页面的 web 应用服务器版本信息泄露可能会泄露服务器的敏感信息,攻击者可以通过这些信息来攻击服务器。修改 404 页面及 500 页面,不要出现 apache、nginx 等字样,可以解决这个问题。 3. Referrer-Policy ...
nginx添加Set-Cookie属性Secure和HttpOnly
热门推荐
sumengnan的博客
02-23 3万+
问题:在https环境中,等保要求为set-cookie增加secure属性(为了安全,防止http请求使用此cookie) 解决办法: 在nginx配置文件中可以是用proxy_cookie_path属性实现,该属性可以修改response set-cookie的path属性。如下: proxy_cookie_path / "/; Path=/; Secure; HttpOnly"; 完整的location代码: location / { proxy...
nginx(六十五)proxy模块(六)处理上游的响应
wzj_110的博客
11-24 2993
上游响应的处理
nginx log文件 json格式配置详解
weixin_45143622的博客
03-19 1267
nginx log文件输出— json格式配置详解 log_format json '{ "@timestamp": "$time_iso8601", ' '"remote_addr": "$remote_addr", ' # 客户端的ip地址 '"remote_user": "$remote_user", ' # 客户端用户名称 '"body_bytes_sent": "$bo
Nginx23】Nginx学习:响应与Map变量操作
硬核项目经理
09-04 957
Nginx学习:响应与Map变量操作响应是非常重要的内容,浏览器或者客户端有很多东西可能都是根据响应来进行判断操作的,比如说最典型的 Content-Type ,之前我们也演示过,直接设置一个空的 types 然后指定默认的数据类型的值,所有的请求浏览器都会直接下载。另外,我们现在在做前后分离的开发,也经常会通过信息来传递一些标志参数,那么自定义响应的作用就更加重要了。另外一个 Map...
nginx添加响应
CrazyX-X-X的博客
04-20 1万+
nginx服务器响应设置:http://nginx.org/en/docs/http/ngx_http_headers_module.html The ngx_http_headers_module module allows adding the “Expires” and “Cache-Control” header fields, and arbitrary fields, to a re...
nginx点击劫持漏洞修复
05-10
点击劫持是一种常见的 Web 安全漏洞,攻击者会将一个网站嵌入到另一个网站中,通过隐藏或者伪装的方式,欺骗用户去点击一个看似无害的链接,从而实现攻击者的恶意目的。nginx 本身并没有针对点击劫持的专门防御机制,但是我们可以通过一些方法来修复这个漏洞: 1. X-Frame-Options 防御点击劫持 在 nginx 的配置文件中,可以通过设置 X-Frame-Options 来防御点击劫持。X-Frame-Options 是一个 HTTP 响应,可以控制浏览器是否允许当前页面在 iframe 中展示。我们可以将其设置为 DENY,表示当前页面不能在 iframe 中展示,从而防止点击劫持攻击。示例配置如下: ``` add_header X-Frame-Options DENY; ``` 2. JavaScript 防御点击劫持 另外,我们还可以通过 JavaScript 来防御点击劫持。在页面中嵌入一个透明的 iframe,覆盖整个页面,当用户点击页面,我们可以通过 JavaScript 判断点击事件的坐标是否在 iframe 内,如果是,则说明用户是在被劫持的页面中点击,我们可以将当前页面重定向到其他页面,从而避免被攻击。示例代码如下: ``` if (top != self) { top.location = self.location; } ``` 综上所述,我们可以通过 X-Frame-Options 和 JavaScript 来防御点击劫持漏洞。建议开发人员在开发过程中注意防范这种漏洞,以保障用户的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值