Web安全漏洞 之 X-Frame-Options,X-XSS-Protection,X-Content-Type-Options 响应头配置

最新推荐文章于 2024-03-05 12:00:00 发布
最新推荐文章于 2024-03-05 12:00:00 发布
阅读量7.7k 收藏 14
点赞数 1
分类专栏: Nginx 文章标签: nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhwxl_zyx/article/details/102717941
版权

 X-Frame-Options

X-Frame-Options 响应头有三个可选的值:
DENY:页面不能被嵌入到任何iframe或frame中;
SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;
ALLOW-FROM:页面允许frame或frame加载。

X-XSS-Protection

顾名思义,这个响应头是用来防范XSS的。最早我是在介绍IE8的文章里看到这个,现在主流浏览器都支持,并且默认都开启了XSS保护,用这个header可以关闭它。它有几种配置:

  • 0:禁用XSS保护;
  • 1:启用XSS保护;
  • 1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

X-Content-Type-Options

互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:"text/html"代表html文档,"image/png"是PNG图片,"text/css"是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。

例如,我们即使给一个html文档指定Content-Type为"text/plain",在IE8-中这个文档依然会被当做html来解析。利用浏览器的这个特性,攻击者甚至可以让原本应该解析为图片的请求被解析为JavaScript。通过下面这个响应头可以禁用浏览器的类型猜测行为

打开nginx.conf,文件位置一般在安装目录 /usr/local/nginx/conf 里。

然后在http配置代码块里某一行添加如下语句即可

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";

Able张
关注
  • 1
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
AngularJS学习笔记之ng-options指令
12-29
1.基本下拉效果(lable for value in array)   其中select标签中的ng-model属性必须有,其值为选中的对象或属性值。 <div ng-controller=ngselect> <p>usage:label for value in array</p> <p>选项,{{selected}}</p> <select ng-model=selected ng-options=o.id for o in optData> <option xss=removed>-- 请选择 --</option> </select> </div> m
利用Express模拟web安全之---xss的攻与防
01-26
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的, 还有另外一种产常见的就是CSRF(后面讲到)。
安全响应(三)​X-Content-Type-Options
最新发布
xnxqwzy的博客
03-05 980
一 [X-Content-Type-Options响应](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options “X-Content-Type-Options响应”)① 基础铺垫② 浏览器默认行为③ 问题引入相关配置说明④ 参考链接[css 的content-type为"text/html" 不是 “text/css”
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略之类的访问控制。截至2007年,在网站上进行的跨站点脚本编写约占Symantec记录的所有安全漏洞的84%。” 演示: 笔记: 使用 -不要直接使用GLOBAL-Array(例如$ _SESSION,$ _ GET,$ _ POST,$ _ SERVER) 如果需要更可配置的解决方案,请使用或 添加“内容安全策略”-> 内容安全策略简介 不要写自己的正则表达式来解析HTML! 阅读此文本-> XSS(跨站点脚本)预防备忘单 测试此工具-> Zed攻击代理(ZAP) 通过“ composer require”安装 composer require voku/anti-xss 用法:
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
ideal-lingyun
09-24 673
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
nginx增加X-Frame-Options配置,防止页面被嵌套
lwd2307997664的博客
03-13 6339
nginx增加X-Frame-Options配置,防止页面被嵌套 文章目录nginx增加X-Frame-Options配置,防止页面被嵌套一、X-Frame-Options配置添加 一、X-Frame-Options配置添加 生产环境的网站都会添加防盗链,不希望自己网页页面被其他站的FRAME嵌套进去, 这时候就需要的HTTP协议里增加X-Frame-Options这一项。 X-Frame-Options的值有三个: (1)DENY — 表示该页面不允许在 frame 中展示,即便是在相同域名的页面
add_header X-Frame-Options "SAMEORIGIN";NGINX
weixin_33834075的博客
08-03 7881
NGINX配置文件中 server { } 中添加add_header X-Frame-Options "SAMEORIGIN";防止该网站页面被其他网站嵌套,我们可以通过下面的工具进行测试:http://www.w3school.com.cn/tiy/t.asp?f=html_frame_cols 编辑html代码,嵌套要测试的网站页面:<html&gt...
HTTP请求Header分析
coach
01-27 3067
客户端HTTP请求的Header信息 1、HTTP请求方式 GET 向Web服务器请求一个文件 POST 向Web服务器发送数据让Web服务器进行处理 PUT 向Web服务器发送数据并存储在Web服务器内部 HEAD 检查一个对象是否存在 DELETE 从Web服务器上删除一个文件 CONNECT 对通道提供支持 TRACE 跟踪到服务器的路径 O...
nginx配置解决XSS漏洞问题
wangjian20000的专栏
03-01 7723
打开nginx.conf文件,找到对应的location模块, X-XSS-Protection 的字段有三个可选配置值,说明如下: 0: 表示关闭浏览器的XSS防护机制1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置1; mode=block:如果检测到恶意代码,在不渲染恶意代码 location模块新增如下配置信息, location / { add_header X-Con
HTTP响应使用X-XSS-Protection
u012280685的博客
08-06 7453
HTTP X-XSS-Protection 响应是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。 解决办法 Nginx配置 /usr/local/nginx/conf 里,打
测试(绿盟)
weixin_43114209的博客
08-16 2527
测试(绿盟) 绿盟科技漏洞报告,IIS 修复 web.config 配置 <?xml version="1.0" encoding="UTF-8"?> <configuration> <system.webServer> <security> <requestFiltering> <requestLimits> &lt
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
10-18
007-Web安全基础3---XSS漏洞(CISP-PTE).pptx
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3374
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
web服务器响应设置
烈火成冰
04-19 1789
响应设置 操作方法:apache 在httpd.conf 文件中,最下面的就可以,也可以争对每一种情况加固。 Header always append X-Frame-Options SAMEORIGIN Header add Strict-Transport-Security "31536000" Header add Content-Security-Policy "default-src'self';" Header add Referer-Policy "no-referrer" He
安全相关的Http响应
小白成神路
04-11 1440
安全相关的Http响应一、前言二、常见的安全相关HTTP响应介绍X-Frame-OptionsX-XSS-ProtectionX-Content-Type-OptionsStrict-Transport-SecurityX-Content-Security-Policy三、部互联网公司安全http的使用情况四、结语 一、前言 近期在翻阅 laravel文档 时,发现官方推荐的nginx配置...
HTTP响应使用X-XSS-Protection(漏洞)
夫君子之行,静以修身,俭以养德,非淡泊无以明志,非宁静无以致远.
06-05 1880
HTTP X-XSS-Protection 响应是Internet Explorer,Chrome和的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚不支持 CSP 的旧版浏览器的用户提供保护。
Nginx安全性配置
qq_42569946的博客
09-24 1968
nginx的安全性访问配置,包含黑白名单,请求限制,防盗链,缓存区溢出攻击,防XSS攻击等
Web安全:X-XSS-Protection(防XSS攻击设置)
热门推荐
TivonaLH的博客
01-11 3万+
1.参考资料链接:https://www.freebuf.com/articles/web/138769.html 2.X-XSS-Protection的三个值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode=bl...
nginx 安全配置代码 X-Frame-Options、X-XSS-Protection、X-Content-Type-Options
09-02
配置 Nginx 的安全选项时,你可以使用以下代码来设置 X-Frame-Options、X-XSS-Protection 和 X-Content-Type-Options: ``` server { ... # 配置 X-Frame-Options add_header X-Frame-Options SAMEORIGIN; # 配置 X-XSS-Protection add_header X-XSS-Protection "1; mode=block"; # 配置 X-Content-Type-Options add_header X-Content-Type-Options nosniff; ... } ``` 在以上代码中,`add_header` 指令用于添加响应信息。`X-Frame-Options` 设置为 `SAMEORIGIN` 会阻止页面被嵌入到其他网站的 iframe 中,保护网页免受点击劫持攻击。`X-XSS-Protection` 设置为 `"1; mode=block"` 会启用浏览器的内置 XSS 保护机制。`X-Content-Type-Options` 设置为 `nosniff` 会阻止浏览器对响应内容的 MIME 类型进行猜测。 你可以将上述代码添加到你的 Nginx 配置文件中的相应位置,确保在保存并重新加载配置后生效。请注意,这些选项可以根据你的具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值