nginx 响应头详解

已于 2022-06-01 16:39:14 修改
阅读量4.3k 收藏 6
点赞数
文章标签: nginx
于 2022-05-19 16:42:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuyu52/article/details/124865313
版权

响应头可放在server下,也可放在server下的接口里

1、add_header X-Frame-Options SAMEORIGIN;

# DENY 表示该页面不允许在frame中展示,即使在相同域名的页面中嵌套也不允许,SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示,ALLOW-FROM url 表示该页面可以在指定来源的frame中展示


2、add_header X-Content-Type-Options: nosniff;

禁止服务器自动解析资源类型

3、 add_header X-XSS-Protection "1; mode=block";        

mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换


 4、add_header Content-Security-Policy  "default-src 'self'";

default-src 定义针对所有类型资源的默认加载策略,

self  允许加载相同源的内容

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。
 
Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。


 5、#add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。
其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。


5、add_header X-Permitted-Cross-Domain-Policies none;

Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效。 当一些在线的 Web Flash 需要加载其他域的内容时,很多 Web 会通过设置一个 crossdomain.xml 文件的方式来控制其跨域方式。很有可能有些开发者并没有修改 crossdomain.xml 文件的权限,但是又有和跨域的 Flash 共享数据的需求,这时候可以通过设置 X-Permitted-Cross-Domain-Policies 头的方式来替代 crossdomain.xml 文件,其可选的值有: none master-only by-content-type by-ftp-filename all 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Permitted-Cross-Domain-Policies,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

master-only 只允许使用主策略文件(/crossdomain.xml)

none 不设置

6、add_header X-Download-Options: noopen;

Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效。 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。

7、add_header Referrer-Policy "no-referrer-when-downgrade";

Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报头内容,其可选的项有: no-referrer no-referrer-when-downgrade origin origin-when-cross-origin same-origin strict-origin strict-origin-when-cross-origin unsafe-url 漏洞危害: Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

no-referrer:不允许被记录。
origin:只记录 origin,域名。
strict-origin:只有在 HTTPS 到 HTTPS 之间才会被记录下来。
strict-origin-when-cross-origin:同源请求会发送完整的 URL;HTTPS 到 HTTPS,发送源;降级下不发送。
no-referrer-when-downgrade(default):同 strict-origin。
origin-when-cross-origin:对于同源的请求,会发送完整的 URL 作为引用地址,但是对于非同源请求仅发送文件的源。
same-origin:对于同源请求会发送完整 URL,非同源请求则不发送 referer
unsafe-url:无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址

Memory_of_fish
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
nginx详细讲解
wq962464的博客
05-26 6378
Nginx是什么? nginx是一个开源的,支持高性能,高并发的www服务和代理服务软件。 nginx因具有高并发(特别是静态资源),占用系统资源少等特性,且功能丰富而逐渐流行起来。 nginx不但是一个优秀Web服务软件,还具有反向代理负载均衡功能和缓存服务功能,与lvs负载均衡及Haproxy等专业代理软件相比,Nginx部署起来更为简单,方便;在缓存功能方面,它又类似于Squid等专业的缓...
nginx替换响应内容
weixin_30633949的博客
01-16 2327
  因为想要将非业务域名内嵌到微信小程序中,所以用到了nginx的反向代理功能来替换域名实现盗站(缘起:http://www.cnblogs.com/kenwar/p/8288882.html),但是替换域名后问题来了,因为XmlHttpRequest同源策略:“禁止向不同源的地址发起HTTP请求” 所以光替换域名还是不够,还需要替换响应内容里的一些ajax请求,这就涉及到了nginx响应内容替...
通过Nginx设置响应信息,解决Web应用漏洞
weixin_52956719的博客
04-01 1462
1:no-referrer-when-downgrade:当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报。7:strict-origin-when-cross-origin:类似于origin-when-cross-origin,但不能降级。6:origin-when-cross-origin:跨域时和origin模式相同,否则 Referrer 还是传递当前页的全路径。2:no-referrer:不传递 Referrer 报的值。
nginx解决no-referrer-when-downgrade,设置了‘Access-Control-Allow-Origin‘ ‘*‘依旧跨域
weixin_43367550的博客
08-21 4446
location /api { add_header 'Access-Control-Allow-Origin' '*' always; add_header 'Access-Control-Allow_Credentials' 'true' always; add_header 'Access-Control-Allow-Headers' 'Authorization,Accept,Origin,DNT,X-CustomHeader,Keep-Alive,U
Nginx配置Http响应安全策略_nginx content-security-policy
最新发布
2401_84520245的博客
05-17 1029
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Nginx】浏览器请求URL遇到错误:no-referrer-when-downgrade
sayyy的专栏
09-18 6249
前言 nginx 1.15.8.1 no-referrer-when-downgrade 解决办法 在nginx中(nginx.conf)添加允许跨域的配置: server{ listen 80 ; server_name localhost ; root /www/admin/localhost_80/wwwroot/ ; location / { index index.html; } ... # 流媒体 location ^~ /stream/hls
Nginx23】Nginx学习:响应与Map变量操作
硬核项目经理
09-04 947
Nginx学习:响应与Map变量操作响应是非常重要的内容,浏览器或者客户端有很多东西可能都是根据响应来进行判断操作的,比如说最典型的 Content-Type ,之前我们也演示过,直接设置一个空的 types 然后指定默认的数据类型的值,所有的请求浏览器都会直接下载。另外,我们现在在做前后分离的开发时,也经常会通过信息来传递一些标志参数,那么自定义响应的作用就更加重要了。另外一个 Map...
Nginx配置Http响应安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
如何在Nginx中配置HTTP安全响应
热门推荐
等风也等你的博客
05-09 1万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Nginx配置优化详解
09-30
2. `proxy_buffer_size`: 调整代理缓冲区大小,以适应大响应体的下载。 3. `gzip on`: 开启GZIP压缩,减小传输的数据量,提高网络效率。 4. `limit_conn`和`limit_req`: 控制并发连接和请求速率,防止DDoS攻击。 5. ...
nginx配置文件详解中文版
09-30
Nginx配置文件详解】 在Nginx服务器中,`nginx.conf` 是主配置文件,它包含了所有关于Nginx服务器如何运行的基本指令。这个文件由多个部分组成,包括全局块、事件块、HTTP块以及server块。下面将详细解释这些块的...
nginx详解.pptx
01-06
Nginx 详解 Nginx 是一个自由的、开源的、高性能的 HTTP 服务器和反向代理服务器,支持负载均衡、缓存、内容缓存、SSL/TLS 加密、虚拟主机、URL 重写、访问控制、速率限制等多种功能。 模块架构 Nginx 的架构是...
nginx信号集案例详解
01-11
经过排查发现,当时 nginx 刚刚完成热更新操作,旧的 master 进程还存在,因为要准备机器重启,先切掉了引流流量(但有些请求还在),同时系统触发了 nginx -s stop,这才导致了这个问题。 场景复现 下面我将使用一...
详解nginx websocket配置
09-30
通过`wscat --connect ws://127.0.0.1:8010`命令,你可以发送消息并接收服务器的响应。如果一切正常,服务器应能正确接收并回送你发送的信息。 然而,通常情况下,WebSocket服务器需要通过反向代理服务器对外提供...
HTTP请求Header分析
coach
01-27 3112
客户端HTTP请求的Header信息 1、HTTP请求方式 GET 向Web服务器请求一个文件 POST 向Web服务器发送数据让Web服务器进行处理 PUT 向Web服务器发送数据并存储在Web服务器内部 HEAD 检查一个对象是否存在 DELETE 从Web服务器上删除一个文件 CONNECT 对通道提供支持 TRACE 跟踪到服务器的路径 O...
Nginx如何解决浏览器跨域问题、Cors跨域资源共享解决跨域问题、浏览器的同源策略原理(Same-Origin Policy)源站Origin
Dontla的博客
07-21 2735
如果有了浏览器同源策略,浏览器就会判断,如果浏览器的源站,即发送请求的网页的域名(或IP地址),与请求服务器的接口的(域名(或ip地址)、端口、协议)不一致时,即为跨域请求,如果预检请求(OPTIONS请求)不通过,浏览器将会阻止该请求;同源策略通过限制跨域请求的访问权限,确保了网页只能访问与其来源相同的资源,防止了恶意网站对用户的攻击。想象一下,如果没有浏览器同源策略,有些网站会伪装成正经网站,然后骗用户在它的网页上输入账号密码,请求服务器接口,登录到正经网站的服务器,然后从服务器盗取用户的数据;
别整复杂了!Nginx 可以轻松搞定跨域问题
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
02-27 108
转自:cnblogs.com/fnz0/p/15803011.html当你遇到跨域问题,不要立刻就选择复制去尝试。请详细看完这篇文章再处理 。我相信它能帮到你。分析前准备:前端网站地址:http://localhost:8080服务端网址:http://localhost:59200首先保证服务端是没有处理跨域的,其次,先用postman测试服务端接口是正常的当网站8080去访问服务端接口时,就产...
nginx web 安全配置
栋院
02-27 8179
1、配置响应(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection) server{ add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1;mode=block'; add_header X-Content-Type-Options nosniff; } 注: X-Frame-Options: 有些资源的Content-Type是
nginx设置X-Frame-Options
zhaofuqiangmycomm的博客
03-05 9247
打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。重新加载:nginx -s reload。检查是否有错:nginx -t。
nginx默认配置详解
09-14
nginx的默认配置文件是nginx.conf。它包含了nginx服务器的主要配置信息。在默认配置文件中,可以通过location指令来配置请求的处理方式。 在引用中,通过配置location /test,将请求路径为/test的请求返回响应"test"。 而在引用中,通过配置location /images,并使用rewrite指令将请求路径中/images/后面的图片链接重写为固定的图片链接。 在引用中,通过使用mv指令修改了文件夹名称,将/images修改为/imgs。然后,通过修改nginx.conf中的rewrite指令,将请求路径中/images/后面的图片链接重写为/imgs/。 综上所述,nginx默认配置文件nginx.conf中,可以通过配置location指令来指定不同的请求处理方式,例如返回指定的响应或对请求路径进行重写。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Memory_of_fish

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值