nginx--基础--3.15--案例--只允许指定的网站进行跨域请求

于 2024-10-10 16:53:05 发布
阅读量70 收藏 1
点赞数 2
分类专栏: nginx 文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhou920786312/article/details/142826374
版权

nginx–基础–3.15–案例–只允许指定的网站进行跨域请求

1、不安全的CORS配置

  1. 测试人员访问某个url,将请求头中的Origin字段修改为任意值,结果仍然能获得正确的响应报文,就说明有CORS漏洞。
  2. 当响应头中的Access-Control-Allow-Origin设置为null或*时,表示信任任何域,这时候就可能引入安全问题。
  3. 修复方法:不让在nginx或tomcat中配置
    1. Access-Control-Allow-Origin *
    2. Access-Control-Allow-Origin null

1.1、测试截图

在这里插入图片描述

1.2、风险

CORS可以共享许多内容,但它是一个相对盲目的协议,只是通过HTTP头来控制,因此它会带来一定的风险,包括:

  1. HTTP头只能说明请求来自一个特定的域,但是并不能保证这个事实,因为HTTP头可以被伪造,所以未经身份验证的跨域请求应该永远不会被信任。如果一些重要的功能需要暴露或者返回敏感信息,应该需要验证Session ID。
  2. 恶意跨域请求,即便页面只允许来自某个信任网站的请求,但是它也会收到大量来自其他域的跨域请求,这些请求有时可能会被用于执行应用层面的DDOS攻击,并不应该被应用来处理。
  3. 内部信息泄漏,假定一个内部站点开启了CORS,如果内部网络的用户访问了恶意网站,恶意网站可以通过CORS(跨域请求)来获取到内部站点的内容。

1.3、修复建议

  • 配置白名单,只允许特定的Access-Control-Allow-Origin头,并拒绝白名单以外的域名进行访问;
  • 通过多种条件屏蔽掉非法的请求,例如HTTP头、参数等;
  • 如果使用了反向代理等功能,则需要配置在最里层的中间件;

可参考以下链接中的配置方式:

https://blog.csdn.net/BHSZZY/article/details/119024992
https://www.cnblogs.com/wenyoudo/p/14862701.html

2、操作

在nginx配置文件中配置:

 # 方式:添加允许跨域的域名:这里使用正则
location / { 
  add_header Access-Control-Allow-Origin *.xxx.com;
  add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}

 # 方式:指定域名
location / { 
  add_header Access-Control-Allow-Origin http://www.hao123.com;
  add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}

 # 方式:指定ip与端口,可以逗号拼接;
location / { 
  add_header Access-Control-Allow-Origin http://10.130.222.222:6500,http://10.130.222.223:6500;
  add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}

# 方式:使用正则表达式;
location ~ /myurl(.*) {
  if ( $http_origin ~ '^http(s)?://(localhost|10\.130\.222\.222):6500$' ){
  add_header Access-Control-Allow-Origin $http_origin;
  }
  if ( $http_origin ~ '^http(s)?://(localhost|10\.130\.222\.223):6500$' ){
  add_header Access-Control-Allow-Origin $http_origin;
  } 
  add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}
勤径苦舟
关注
专栏目录
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 893
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
java面试题
阿江江的博客
03-20 4675
第一章 Java语言 1.Java基础 1.1 为什么Java代码可以实现一次编写、到处运行? 因为有JVM,这是是Java跨平台的关键。 在程序运行前,Java源代码(.java)需要经过编译器编译成字节码(.class)。 在程序运行时,JVM将字节码翻译成特定平台下的机器码并运行,也就是说,只要在不同的平台上安装对应的JVM,就可以运行字节码文件。 注意事项 编译的结果是生成字节码,字节码不能直接运行,必须通过JVM翻译成机器码才能运行; 跨平台的是Java程序、而不是JVM,JVM是C/C++开发
校招python总结--建议全文背诵
weixin_43673156的博客
03-21 5712
Python基础 1、Python判断对象是否相等(== 和 is) Python中的对象包含三个基本要素,分别是:id:用来唯一标识一个对象,可以理解为内存地址;type:标识对象的类型;value:对象的值; == :比较两个对象的内容是否相等,即两个对象的 value 是否相等,无论 id 是否相等,默认会调用对象的 eq()方法。 is: 比较的是两个对象是不是完全相同,即他们的 id 要相等。也就是说如果 a is b 为 True,那么 a == b 也为True。 2、如何在Python中
python5.0完整版
zz77244920的博客
04-14 4017
想要这份详细的教程的可以留言,完整视频版,带课件和课程里提到的软件。1. python5.0 11.1. 1-Python基础语法v5.0 11.1.1. 第1节 开发环境安装介绍 11...
Elasticsearch6.X不完全入门
赣江
12-13 3606
第一章 ElasticSearch入门篇 第一节 ElasticSearch概述 1.1ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTfulweb接口。ElasticSearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。设计用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装...
java知识体系介绍
热门推荐
bluesliusmile的博客
01-03 1万+
国内最牛七星级团队 马士兵、高淇等11位十年开发经验专家录制 目 录 百战程序员Java1573题 2 百战程序员介绍 3 JavaSE编程基础 9 第一章 初识Java 9 阶段项目课程1 11 第二章 数据类型和运算符 14 第三章 控制语句 17 第四章 数组 24 阶段项目课程2 27 第五章 面向对象 27 第六章 异常机制
文章目录(三周年)
零度源码
05-15 8141
2020年5月71905.1412个前端必会 H5 问题及解决方法718 05.13 前端缓存最佳实践71705.12深圳腾讯前端面经分享2020年3月71603...
Nginx配置跨域请求Access-Control-Allow-Origin * 详解
09-09
在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的跨域行为。本文将详细解释如何通过Nginx配置来实现跨域请求,并探讨相关技术背景。 首先,我们来看如何配置...
Nginx跨域设置Access-Control-Allow-Origin无效的解决办法
09-30
预检请求是浏览器在发送实际请求之前发送的一种安全机制,以确认服务器是否允许即将进行跨域请求。 为了处理预检请求,我们需要在Nginx配置中添加针对OPTIONS请求的响应,如下所示: ```nginx if ($request_...
nginx-1.19.3_nginx-http-flv-module.rar
09-01
标题中的"nginx-1.19.3_nginx-http-flv-module.rar"表明这是一个关于Nginx服务器的软件包,特别地,它包含了Nginx的1.19.3版本,并且已经集成了`nginx-http-flv-module`模块。这个模块是用于支持HTTP FLV(Flash ...
数据库有哪些身份验证技术
lunan的博客
10-06 837
梧桐数据库(WuTongDB)是基于 Apache HAWQ 打造的一款分布式 OLAP 数据库。产品通过存算分离架构提供高可用、高可靠、高扩展能力,实现了向量化计算引擎提供极速数据分析能力,通过多异构存储关联查询实现湖仓融合能力,可以帮助企业用户轻松构建核心数仓和湖仓一体数据平台。2023年6月,梧桐数据库(WuTongDB)产品通过信通院可信数据库分布式分析型数据库基础能力测评,在基础能力、运维能力、兼容性、安全性、高可用、高扩展方面获得认可。梧桐数据库(WuTongDB)相关文章。
[Linux]从零开始的网站搭建教程
c858845275的博客
10-02 1403
讲解了如何搭建运维面板安装web服务器和搭建一个自己的网站
数据库概述(3)
lin_miao_2023的博客
10-06 758
如果找到了(缓存命中)那就直接从内存读取而且当要写入数据时,不会直接写进磁盘里,而是先在缓冲池中寻找有没有对应的数据在缓冲池中进行数据的写入,如果缓冲命中直接修改数据,缓冲若未命中就会从磁盘中读取数据页到缓冲池,之后再更新到磁盘中去即延迟写入技术(异步去修),可以减少磁盘I/O操作的频率(I/O操作指输入输出操作,即硬件设备和内存之间的数据交换过程)即减少直接读取磁盘提高性能。类似于书籍的目录,用来检索数据,索引可以将检索的速度从O(n)的时间复杂度变成O(logn)甚至O(1),其中n是数据行数。
(笔记)第三期书生·浦语大模型实战营(十一卷王场)--书生入门岛通关第2关Python 基础知识
haidizym的博客
10-02 558
学员闯关手册:https://aicarrier.feishu.cn/wiki/ZcgkwqteZi9s4ZkYr0Gcayg1n1g?课程视频:https://www.bilibili.com/video/BV1mS421X7h4/课程文档:https://github.com/InternLM/Tutorial/tree/camp3/docs/L0/Python。
国外电商系统开发-运维系统文件下载
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
10-08 173
国外电商系统开发-运维系统文件下载
nginx主配置文件
最新发布
qq_41081716的博客
10-09 276
这个配置文件定义了Nginx的基本设置,包括工作进程数、错误日志、事件处理模型、HTTP模块的基本配置以及虚拟主机配置文件的包含路径。通过这些配置,Nginx可以有效地处理各种HTTP请求,并支持多个虚拟主机。
在Linux系统安装Nginx
C1226786216的博客
10-02 710
注意:Nginx端口号是80(云服务器要放行) 我的是基于yum源安装。
运维自动化shell脚本总结
大黄鸭在发光的专栏
10-03 427
Shell脚本是一系列命令的集合,通常用于自动化执行任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值