关于nginx HTTP安全响应问题

这篇具有很好参考价值的文章主要介绍了关于nginx HTTP安全响应问题。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、背景

二、http基本安全配置

2.1 host头攻击漏洞

2.2 http method 请求方式攻击漏洞

2.3 点劫持漏洞(X-Frame-Options) 

2.4 X-Download-Options响应头缺失

2.5 Content-Security-Policy响应头缺失

2.6 Strict-Transport-Security响应头缺失

2.7 X-Permitted-Cross-Domain-Policies响应头缺失

2.8 Referrer-Policy响应头缺失

2.9 X-XSS-Protection响应头缺失

2.10 X-Content-Type-Options响应头缺失

2.11 会话cookie中缺少HttpOnly属性


一、背景

随着开发技术的发展及完善,一些网站系统会经常遭到各类XSS攻击、点劫持(ClickJacking、frame恶意引用等),从而造成重要信息的泄露以及服务器安全问题

二、http基本安全配置

2.1 host头攻击漏洞

该问题检测点在于 检测应用是否在请求目标站点时返回的URL是直接将Host头拼接在URI前

该漏洞的防御主要是限制IP地址,

配置示例

通过指定一个SERVER_NAME名单,只有这符合条件的允许通过,不符合条件的返回403状态码

server {
        listen 7200;
        server_name 127.0.0.1 192.168.10.188;
        if ($http_Host !~* ^192.168.10.188|127.0.0.1$)
        {
            return 403;
        }                
    }

2.2 http method 请求方式攻击漏洞

一般api接口配置,会要求使用某些指定的请求方式,比如post、get

配置如下示例

即仅仅让GET、POST类型请求通过,其余的请求方式返回403状态码

if ($request_method !~* GET|POST) {
            return 403;
  }

2.3 点劫持漏洞(X-Frame-Options) 

X-Frame-Options HTTP 响应头是微软提出来的一个HTTP响应头,主要用来给浏览器指示允许一个页面可否在 <frame>, <iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫持 (ClickJacking) 的攻击

点劫持概念:点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者利用透明的、不可见的iframe,覆盖在一个网页上,此时用户在不知情的情况下点击了这个透明的iframe页面。通过调整iframe页面的css样式,可以使用户恰好点击在iframe页面的一些功能性按钮上。

X-Frame-Options配置值释义

  • DENY:不能被嵌入到任何iframe或者frame中。
  • SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
  • ALLOW-FROM url:只能被嵌入到指定域名的框架中。

配置示例

add_header X-Frame-Options SAMEORIGIN;
#add_header X-Frame-Options:ALLOW-FROM https://tongji.baidu.com;
#add_header X-Frame-Options DENY;

2.4 X-Download-Options响应头缺失

web浏览器在响应头中缺少 X-Download-Options,这将导致浏览器提供的安全特性失效,更容易遭受 Web 前端黑客攻击的影响。

配置示例

add_header X-Download-Options "noopen";

2.5 Content-Security-Policy响应头缺失

HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。
Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。

配置示例

add_header Content-Security-Policy "script-src * 'unsafe-inline' 'unsafe-eval'";

指令值示例 

指令  指令值示例  说明
default-src 'self' cnd.a.com 定义针对所有类型(js、image、css、web font,ajax 请求,iframe,多媒体等)资源的默认加载策略,某类型资源如果没有单独定义策略,就使用默认的
script-src 'self' js.a.com 定义针对 JavaScript 的加载策略
style-src 'self' css.a.com 定义针对样式的加载策略
img-src 'self' img.a.com 定义针对图片的加载策略
connect-src 'self' 针对 Ajax、WebSocket 等请求的加载策略。不允许的情况下,浏览器会模拟一个状态为 400 的响应
font-src font.a.com 针对 WebFont 的加载策略
object-src 'self' 针对 <object>、<embed> 或 <applet> 等标签引入的 flash 等插件的加载策略
media-src media.a.com 针对 <audio> 或 <video> 等标签引入的 HTML 多媒体的加载策略
frame-src 'self' 针对 frame 的加载策略
sandbox allow-forms 对请求的资源启用 sandbox(类似于 iframe 的 sandbox 属性)
report-uri /report-uri 告诉浏览器如果请求的资源不被策略允许时,往哪个地址提交日志信息。 特别的:如果想让浏览器只汇报日志,不阻止任何内容,可以改用 Content-Security-Policy-Report-Only 头。

指令值内容组成

指令  指令值示例  说明
img-src 允许任何内容
'none' img-src 'none' 不允许任何内容略
'self' img-src 'self' 允许来自相同来源的内容(相同的协议、域名和端口)
data: img-src data: 允许 data: 协议(如 base64 编码的图片)
www.a.com img-src img.a.com 允许加载指定域名的资源
.a.com img-src .a.com 允许加载 a.com 任何子域的资源
https://img.com  img-src https://img.com 允许加载 img.com 的 https 资源(协议需匹配)
https: img-src https: 允许加载 https 资源
'unsafe-inline' script-src 'unsafe-inline' 允许加载 inline 资源(例如常见的 style 属性,onclick,inline js 和 inline css 等等)
'unsafe-eval' cript-src 'unsafe-eval' 允许加载动态 js 代码,例如 eval()

2.6 Strict-Transport-Security响应头缺失

Web 服务器对于 HTTP 请求的响应头中缺少 Strict-Transport-Security,这将导致浏览器提供的安全特性失效。 当 Web 服务器的 HTTP 头中包含 Strict-Transport-Security 头时,浏览器将持续使用 HTTPS 来访问 Web 站点,可以用来对抗协议降级攻击和 Cookie 劫持攻击。

语法

1. strict-transport-security: max-age=<expire-time>
2. strict-transport-security: max-age=<expire-time>; includeSubDomains
3. strict-transport-security: max-age=<expire-time>; includeSubDomains; preload

释义

  • max-age=<expire-time>: 设置在浏览器收到这个请求后的 秒的时间内凡是访问这个域名下的请求都使用 HTTPS 请求。
  • includeSubDomains :可选,如果这个可选的参数被指定,那么说明此规则也适用于该网站的所有子域名。
  • preload: 可选,加入预加载列表

配置示例

add_header Strict-Transport-Security 'max-age=15552000';

2.7 X-Permitted-Cross-Domain-Policies响应头缺失

系统响应头缺少X-Permitted-Cross-Domain-Policies,将会导致浏览器的安全特性失效

配置值释义

  • none:不允许使用loadPolicyFile方法加载任何策略文件,包括此主策略文件。
  • master-only:只允许使用主策略文件[默认值]。
  • by-content-type:只允许使用loadPolicyFile方法加载HTTP/HTTPS协议下Content-Type 为text/x-cross-domain-policy的文件作为跨域策略文件。
  • by-ftp-filename:只允许使用loadPolicyFile方法加载FTP协议下文件名为 crossdomain.xml的文件作为跨域策略文件。
  • all:可使用loadPolicyFile方法加载目标域上的任何文件作为跨域策略文件,甚至是一 个JPG也可被加载为策略文件。

配置示例

add_header X-Permitted-Cross-Domain-Policies 'none';

2.8 Referrer-Policy响应头缺失

用来监管哪些访问来源信息——会在 Referer 中发送——应该被包含在生成的请求当中,增加隐私保护。

当我们点击一个连接时,会产生一个http请求去获取新页面的内容,在该请求的header中会有一个referrer用以说明该请求是从哪个页面跳转过来的。如果缺少该字段会导致浏览器的安全特性消失,使我们的系统更容易受到攻击。

语法

1. Referrer-Policy: no-referrer
2. Referrer-Policy: no-referrer-when-downgrade
3. Referrer-Policy: origin
4. Referrer-Policy: origin-when-cross-origin
5. Referrer-Policy: same-origin
6. Referrer-Policy: strict-origin
7. Referrer-Policy: strict-origin-when-cross-origin
8. Referrer-Policy: unsafe-url

释义

  • no-referrer:整个 Referer 首部会被移除。访问来源信息不随着请求一起发送。 
  • no-referrer-when-downgrade :(默认值) 在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别的情况下(HTTPS->HTTPS),引用页面的地址会被发送,但是在降级的情况下 (HTTPS->HTTP)不会被发送。
  • origin:在任何情况下,仅发送文件的源作为引用地址。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。
  • origin-when-cross-origin:对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
  • same-origin:对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息。
  • strict-origin:在同等安全级别的情况下(HTTPS->HTTPS),发送文件的源作为引用地址,但是在降级的情况下(HTTPS->HTTP)不会发送 。
  • strict-origin-when-cross-origin:对于同源的请求,会发送完整的URL作为引用地址;对于非同源,在同等安全级别的情况下(HTTPS->HTTPS),发送文件的源作为引用地址;在降级的情况下(HTTPS->HTTP)不发送此首部。
  • unsafe-url:无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。 这项设置会将受 TLS 安全协议保

配置示例

add_header Referrer-Policy "no-referrer";

2.9 X-XSS-Protection响应头缺失

HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。

X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击。

语法

1.X-XSS-Protection: 0
2.X-XSS-Protection: 1
3.X-XSS-Protection: 1; mode=block
4.X-XSS-Protection: 1; report=<reporting-uri>

释义

  • 0:禁止 XSS 过滤。
  • 1:启用 XSS 过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除页面(删除不安全的部分)。
  • 1; mode=block:启用 XSS 过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。
  • 1; report=<reporting-uri> (Chromium only):启用 XSS 过滤。如果检测到跨站脚本攻击,浏览器将清除页面并使用 CSP report-uri 指令的功能发送违规报告。

配置示例

add_header X-XSS-Protection '1;mode=block';

2.10 X-Content-Type-Options响应头缺失

Web 服务器对于 HTTP 请求的响应头缺少 X-Content-Type-Options,这意味着此网站更易遭受跨站脚本攻击(XSS)。

X-Content-Type-Options 响应头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改,这就禁用了客户端的 MIME 类型嗅探行为。

X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。

配置示例

add_header X-Content-Type-Options 'nosniff';

nosniff 只应用于以下两种情况的请求将被阻止:

  • 请求类型是 style 但是 MIME 类型不是 text/css。
  • 请求类型是 script 但是 MIME 类型不是 JavaScript MIME 类型。

2.11 会话cookie中缺少HttpOnly属性

会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。

释义

  • secure属性当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。
  •  HttpOnly属性如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。

配置示例

add_header Set-Cookie "Path=/; HttpOnly; Secure";

注: 另一种配置是在ssl.conf或default.conf中添加下面的语法:

proxy_cookie_path / "/; HTTPOnly; Secure";文章来源地址https://www.toymoban.com/news/detail-500932.html

到了这里,关于关于nginx HTTP安全响应问题的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HTTP基础:学习HTTP协议的基本知识,了解请求和响应的过程

    HTTP(Hypertext Transfer Protocol,超文本传输协议)是一种用于传输超媒体文档(如HTML)的应用层协议,它是Web中最基本的协议。 HTTP请求和响应都是由客户端和服务器之间进行的。 一个完整的HTTP请求由以下几个部分组成: 请求行:包括请求方法(GET、POST等)、请求的URI和HTTP协

    2024年02月12日
    浏览(44)
  • Nginx神奇的499竟然不在HTTP响应码标准内?快来了解一下!

    高性能的HTTP和反向代理服务器,Nginx用来: 搭建Web Server 作负载均衡 供配置的日志字段丰富,从各类HTTP头部到内部性能数据都有 Nginx的访问日志中,存在499状态码的日志。但常见4xx状态码只有400、401、403、404等,499并未在HTTP RFC文档。这499错误日志,在流量较大场景下,特别

    2024年02月08日
    浏览(36)
  • nginx解决不必要的 Http 响应头漏洞(自定义server信息及隐藏版本号)

    1.自定义server信息 修改nginx解压目录下的/src/core/nginx.h文件     修改nginx解压目录下的/src/http/ngx_http_header_filter_module.c文件 修改 nginx解压目录下的/src/http/ngx_http_special_response.c文件  全部修改完成后,执行./configure --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_sub_module --w

    2024年02月14日
    浏览(34)
  • Spring Security漏洞防护—HTTP 安全响应头

    Spring Security提供了 一套默认的安全HTTP响应头,以提供安全默认值。虽然这些头信息中的每一个都被认为是最佳实践,但应该注意的是,并不是所有的客户端都使用这些头信息,所以鼓励进行额外的测试。 你可以定制特定的header。例如,假设你想使用默认值,但你希望为 X-

    2024年02月03日
    浏览(36)
  • Web安全测试(二):HTTP状态码、响应和url详解

    结合内部资料,与安全渗透部门同事合力整理的安全测试相关资料教程,全方位涵盖电商、支付、金融、网络、数据库等领域的安全测试,覆盖Web、APP、中间件、内外网、Linux、Windows多个平台。学完后一定能成为安全大佬! 全部文章请访问专栏: 《全栈安全测试教程(0基础

    2024年02月11日
    浏览(40)
  • 关于Pygame运行无响应问题的办法(已解决)

    目录 pygame程序运行时需要初始化 在关闭运行页面的时候无响应 pygame程序运行时需要初始化 如下代码运行后无反应: 应该加上初始化的语句: pygame.init() 再运行就会解决问题,代码如下:  可以看见一个白色的空白页面 在关闭运行页面的时候无响应  如上代码运行后,准备

    2024年02月05日
    浏览(35)
  • 关于nginx的linux命令 以及 基本配置文件的配置

    nginx介绍 反向代理,https,动静分离(web 服务),负载均衡 (反向代理),web 缓存 内存少,并发能力强(支持50,000 个并发) 配置文件默认是放在/usr/local/nginx/conf/nginx.conf,配置文件中默认有三大块:全局块、events块、http块。 我们主要修改http块: 反向代理 server { location

    2023年04月23日
    浏览(56)
  • 关于element-ui表格 鼠标悬停背景颜色修改问题

    element-ui鼠标悬停时行背景色默认为白色,当表格字体为白色时容易看不到文字,因此需要修改鼠标悬停时的背景色。 html使用el-table后,在css样式中添加以下代码即可修改鼠标悬停后的背景色。(未使用scss和less) 同时补充鼠标点击后行高亮颜色修改,需要在el-table标签内添加

    2024年02月11日
    浏览(63)
  • HTTP 请求和响应的原理以及常见问题、解决办法

    在现代 Web 开发中,HTTP 请求和响应是最基本的通信方式。这两者是通过 HTTP 协议进行交互的,在前端和后台开发中都需要对其处理有一定的了解。我将为大家介绍 HTTP 请求和响应的处理原理以及常见问题和解决办法。 客户端向服务器发送请求,请求格式如下: 服务器接收到

    2024年02月10日
    浏览(41)
  • 国家矿山安全监察局关于露天矿山边坡监测系统建设及预警响应要求

    矿山是人类社会发展的物资基础,也是国民经济的重要组成部分。随着我国经济的快速增长,矿山开发步伐加快,使得边坡问题日益严重,影响了矿山的安全生产。为有效防范遏制矿山重特大事故发生,国家矿山安全监察局在8月30日发布了 《关于开展露天矿山边坡监测系统建

    2024年02月09日
    浏览(39)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包