Nginx配置origin限制跨域请求

最新推荐文章于 2025-05-29 09:47:23 发布
原创 最新推荐文章于 2025-05-29 09:47:23 发布 · 935 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #java #运维

文章讲述了按照等保要求,针对跨域不安全性的修复方法。通过检查和控制客户端请求头中的Origin字段,设置HTTPmap指令定义跨域规则,以确定是否返回403错误页面。提供了一种使用Nginx配置白名单的方式,并通过POSTMAN进行请求模拟验证修复效果。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

按照等保要求,跨域的不安全性,需要修复。

在这里插入图片描述
这个需要根据客户端传递的请求头中的Origin值,进行安全的跨站策略配置,目的是对非法的origin直接返回403错误页面

漏洞复现

复现方式为在 Header 中指定 Origin 请求头,看是否可以请求成功。
能够请求成功,说明未对请求头进行控制,有漏洞。

curl -H 'Origin:http://test.com' http://192.168.15.32:80

修复办法

在http中定义一个通过map指令,定义跨域规则并返回是否合法

http {
    ...
    // 再白名单里边返回0,不在返回1
    map $http_origin $allow_cors {
        default 1;
        "~^https?://.*?\.tripwolf\.com.*$" 1;
        "~^(https?://(dmp.finerice.cn)?)$" 1;
        "~*" 0;
    }
    server {
        # 指定允许其他域名访问        
        add_header Access-Control-Allow-Origin $http_origin;
        # 允许的请求类型
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        # 许的请求头字段
        add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";

        location / {
            # 进行请求拦截
            if ($allow_cors = 0){
                return 403;
            }
            root /mnt/data;
        }
    }
}

验证方法

通过POSTMAN进行请求模拟,配置不同的Origin,查看返回结果。
在这里插入图片描述
如果不需要跨域,则直接清理掉add_header Access-Control-Allow-Origin等相关配置,就不这么复杂了。

Nginx配置origin限制CORS漏洞(应对等保渗透)
io_123io_123的博客
08-15 2440
Nginx配置origin限制CORS漏洞(等保测评扫描反复扫到)
Nginx 配置解决问题
qq_28286027的博客
03-04 744
location /下添加如下配置: if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; # # Custom headers and headers various browsers *should* be
nginx-CORS配置
icepopfh的博客
07-14 365
资源限制是浏览器限制的,后端直接访问没有经过浏览器是可以访问的。
CORS on Nginx
z69183787的专栏
01-02 970
https://enable-cors.org/server_nginx.html # # Wide-open CORS config for nginx # location / { if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add...
Nginx配置origin限制,修复CORS漏洞
最新发布
Java资料站
05-29 529
直接报错"检测到Access-Control-Allow-Origin头的许可权太多"
nginx禁止
weixin_46041804的博客
12-23 8120
ngin禁止
nginx反向代理走https
fengbin2005的专栏
01-02 677
events {http {server {server {NULL:!aNULL:!MD5:!ADH:!RC4;
nginx禁止,防范cors攻击
dl425134845的专栏
07-05 2054
参考了这篇文章default 1;"~^(http?)$" 1;"~^(http?)$" 1;"~*" 0;server {listen 81;server {return 403;
Nginx禁止
SAI的专栏
07-01 2372
全局限制禁止除了192.168.90.32外其他名进行访问。
Nginx配置请求Access-Control-Allow-Origin * 详解
09-09
Nginx配置请求Access-Control-Allow-Origin * 是解决现代Web应用中常见问题的一个关键步骤。在Web开发中,由于浏览器的同源策略限制,不同源的网站之间不能直接进行AJAX请求,除非服务器允许这样的行为。...
nginx实现访问遇到的问题
10-22
什么是最好的实现方式?nginx实现访问遇到的系统环境问题解决方法,踩过的坑分享给大家
nginx 配置失效修复的方法示例
01-20
nginx 配置不生效 如下配置 server { listen 80; server_name localhost; # 接口转发 location /api/ { # 允许请求地址 * 做为通配符 add_header 'Access-Control-Allow-Origin' '*'; # 设置请求...
使用 Nginx 轻松处理请求(CORS)
web13595609705的博客
01-21 799
CORS(Cross-Origin Resource Sharing)是一种 HTTP 头部机制,允许服务器声明哪些外部origin)可以访问其资源。由于安全原因,浏览器通常不允许请求,但通过 CORS,服务器可以显式地允许某些访问其资源。
Nginx使用“逻辑与”配置origin限制,修复CORS漏洞
qq_53058639的博客
03-02 6161
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
Nginx配置origin限制请求(应对等保)
热门推荐
qq_20236937的博客
01-11 1万+
Nginx配置origin限制请求(应对等保)
nginx禁止访问
xinhuixu博客
08-06 3150
nginx禁止访问 if ($http_origin !~* “^https://sd.ctmmedia.com.cn”) { return 404; } location /school/ { #if ($http_origin !~* "^https://sd.ctmmedia.com.cn") { # return 404; #} #ad
nginx php 访问权限,Nginx如何禁止访问某个PHP文件?
weixin_36443823的博客
03-21 182
看下了文档,写了几行代码解决了,暂时用这个解决方法,如有更好的,也欢迎留言。下面贴出代码location ~ \.php$ {#新增代码 start# 假设 ajax.php 文件路径是 /includes/ajax.php 和网站名是 www.a.com# 新增一个变量 $nolocal 值为1,也就是真set $nolocal 1;#下面开始判断,不是 POST 或者请求路径不是 ajax....
绝对有用的Nginx配置访问以及拦截
LinXiaoTaoZi的博客
11-22 745
2、要求不允许在浏览器看到返回: Access-Control-Allow-Origin * 或者 Access-Control-Allow-Origin 名。但是如果不返回Access-Control-Allow-Origin,就会导致浏览器不支持。对于前后端分离的项目,不在同一个名下的时候,不支持显然是不合理的。在ng这里已经完成了拦截,只有指定名才可以访问,相当于把浏览器也骗了。在网上找了很多,基本上都是直接在代码配置,或者通过ng配置实现。),但是并不满足等保的要求。
nginx配置忽略请求
09-09
配置Nginx以忽略请求,你可以通过以下步骤进行设置: 1. 打开Nginx配置文件,通常位于/etc/nginx/nginx.conf。 2. 在http块中添加一个变量$allow_cors来控制是否允许请求。默认情况下,将该变量设置为1,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cyufeng

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值