当前位置:   article > 正文

通过Nginx设置响应头信息,解决Web应用漏洞_nginx 添加响应头

nginx 添加响应头

响应头:HTTP X-XSS-Protection缺失

解决方案:

add_header X-XSS-Protection 1;

解析:

此响应头用来防范xss攻击

0:禁用XSS保护;

1:启用XSS保护;

1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

响应头:X-Frame-Options Header未配置

解决方案:

add_header X-Frame-Options SAMEORIGIN always;

解析:

此响应头用来防范点击劫持攻击

1:DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2:SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3:ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

响应头:HTTP X-Content-Type-Options缺失

解决方案:

add_header X-Content-Type-Options 'nosniff';

解析:

缺少 X-Content-Type-Options,意味着此网站更易遭受跨站脚本攻击(XSS)

nosniff 只应用于以下两种情况的请求将被阻止:

1:请求类型是 style 但是 MIME 类型不是 text/css。

2:请求类型是 script 但是 MIME 类型不是 JavaScript MIME 类型。

响应头:HTTP Referrer-Policy缺失

解决方案:

add_header Referrer-Policy  "no-referrer-when-downgrade";

解析:

用于过滤 Referrer 报头内容

1:no-referrer-when-downgrade:当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

2:no-referrer:不传递 Referrer 报头的值。

3:same-origin:同源才会传递 Referrer。

4:origin:将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

5:strict-origin:类似于origin,但不能降级

6:origin-when-cross-origin:跨域时和origin模式相同,否则 Referrer 还是传递当前页的全路径。

7:strict-origin-when-cross-origin:类似于origin-when-cross-origin,但不能降级

8:unsafe-url:任意情况下,都发送当前页的全部地址到 Referrer,宽松和不安全的策略。

响应头:HTTP Content-Security-Policy缺失

解决方案:

add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval' blob: data: ;";

解析:

用于检测并削弱某些特定类型的攻击,包括跨站脚本和数据注入攻击等

1:default-src 默认策略,可以应用于所有请求

2:* 允许任意地址的url

3:unsafe-inline 允许行内代码执行

4:unsafe-eval 允许不安全的动态代码执行,JavaScript的 eval()方法

响应头:HTTP X-Permitted-Cross-Domain-Policies缺失

解决方案:

add_header X-Permitted-Cross-Domain-Policies  "master-only" always;

解析:

一种安全策略,用于控制其他域名可以如何使用当前域名的资源。

1:"master-only"表示只允许当前域名的主站点使用该站点的资源,其他域名不允许使用。

2:添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

响应头:HTTP X-Download-Options缺失

解决方案:

add_header X-Download-Options noopen;

解析:

一种安全策略,用于防止直接打开用户下载

1:noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。

会话Cookie中缺少HttpOnly、secure属性

解决方案:

  1. add_header Set-Cookie "HttpOnly";
  2. add_header Set-Cookie "Secure";

解析:

Secure属性:Cookie通信只限于加密传输,指示浏览器仅仅在通过安全/加密连接才能使用该Cookie。

HttpOnly属性:指示浏览器不要在除HTTP(和HTTPS)请求之外暴露Cookie

示例:

  1. http{
  2. server{
  3. add_header Set-Cookie "HttpOnly";
  4. add_header Set-Cookie "Secure";
  5. add_header X-XSS-Protection 1;
  6. add_header X-Frame-Options SAMEORIGIN always;
  7. add_header X-Content-Type-Options 'nosniff';
  8. add_header Referrer-Policy "no-referrer-when-downgrade";
  9. add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe- eval' blob: data: ;";
  10. add_header X-Permitted-Cross-Domain-Policies "master-only" always;
  11. add_header X-Download-Options noopen;
  12. }
  13. }
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/在线问答5/article/detail/847449
推荐阅读
相关标签
  

闽ICP备14008679号