Nginx 配置之XSS,Frame,隐藏版本号

最新推荐文章于 2025-06-04 14:47:20 发布
原创 最新推荐文章于 2025-06-04 14:47:20 发布 · 582 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #javascript #前端

目录

1.隐藏nginx版本号

server_tokens

2.X-Frame-Options

3.X-Content-Type-Options

4.X-XSS-Protection

1.隐藏nginx版本号

server_tokens

该响应头用于禁止 nginx 在响应中报文中包含版本信息。因为具体的版本可能会存在未知 bug。

http {
    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /var/log/nginx/access.log  main;

    sendfile            on;
    tcp_nopush          on;
    tcp_nodelay         on;
    keepalive_timeout   65;
    types_hash_max_size 4096;

    include             /etc/nginx/mime.types;
    default_type        application/octet-stream;

    # Load modular configuration files from the /etc/nginx/conf.d directory.
    # See http://nginx.org/en/docs/ngx_core_module.html#include
    # for more information.
    include /etc/nginx/conf.d/*.conf;
    #隐藏版本号
    server_tokens off;
    server {
        listen       80;
        listen       [::]:80;
        server_name  _;
        root         /usr/share/nginx/html;


server_tokens off;

2.X-Frame-Options

该响应头用于是否允许浏览器加载 frame、 iframe、 object 等属性。可以使用该功能来避免 点击劫持

add_header X-Frame-Options SAMEORIGIN;

该指令用三个可用的配置

  • X-Frame-Options: DENY
  • X-Frame-Options: SAMEORIGIN
  • X-Frame-Options: ALLOW-FROM https://example.com/

当设置为 DENY 时,站点禁止任何页面被嵌入。

当设置为 SAMEORIGIN 时,只允许加载同源的 fram/iframe/object。

当设置为 ALLOW-FROM 时,只允许加载指定的源。

3.X-Content-Type-Options


在我们通常的请求响应中,浏览器会根据 HTTP 响应的 Content-Type 来分辨响应的类型。如 text/html 代表 html 文档。 但当响应类型未指定或错误指定时,浏览会尝试启用 MIME-sniffing 来猜测资源的响应类型。

如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的 HTML 和 JavaScript 代码。由于未关闭资源的类型猜测,浏览器将直接执行嵌入的 JavaScript 代码,而不是显示图片。

add_header X-Content-Type-Options nosniff;


用来指定浏览器对未指定或错误指定 Content-Type 资源真正类型的猜测行为,nosniff 表示不允许任何猜测。

这个响应头的值只能是 nosniff,可用于 IE8+ 和 Chrome。

4.X-XSS-Protection

add_header X-XSS-Protection "1; mode=block";

该响应头是用于防范及过滤 XSS 的。可用的几个指令如下:

  • X-XSS-Protection: 0
  • X-XSS-Protection: 1
  • X-XSS-Protection: 1; mode=block
  • X-XSS-Protection: 1; report=

说明

0,禁用 XSS 过滤
1,开启 XSS 过滤
1; mode=block,开启 XSS 过滤,并且若检查到 XSS 攻击,停止渲染页面。
X-XSS-Protection: 1; report=<reporting-uri>,开启 XSS 过滤,并且若检查到 XSS 攻击,将使用指导的 url 来发送报告。

Nginx 常用配置、SSL、安全加固
冷雨夜的专栏
03-21 253
Nginx 常用配置、SSL、安全加固
nginx配置笔记
qq_26124425的博客
12-03 1055
限制不安全请求方法,拒绝接受除POST和GET,HEAD以外的请求方法。防止溢出,给所有客户端配置buffer容许最大值。控制iframe,防止iframe注入。禁止nginx服务器目录列表功能。限制仅使用HTTPS访问。去除nginx指纹信息。cookie信息安全。
怎样在 Nginx配置跨站点脚本(XSS)防护?
发现生活,分享智慧,一起成长!
07-22 2622
在网络世界的“战场”上,XSS 攻击就像一个无处不在的幽灵,时刻威胁着我们的网站安全。而 Nginx 则是我们手中的一把利剑,通过合理的配置和策略,我们可以在很大程度上抵御这种攻击。但要记住,安全是一个持续的过程,就像一场永无止境的“战争”。攻击者在不断地进化和创新,我们也需要不断地学习和改进防护措施,才能确保我们的网站始终坚如磐石,为用户提供一个安全可靠的环境。希望通过本文的介绍,您能在 Nginx 中成功配置 XSS 防护,让您的网站在网络的海洋中乘风破浪,安然无恙!🎉相关推荐🍅关注博主🎗️。
提高安全性的最佳 Nginx 配置
weixin_33819479的博客
04-09 590
由于安全问题一直是重中之重,这里整理下 nginx 的安全配置。文章大部分参考了 Best nginx configuration for improved security(and performance). 及 Jerry Qu,更多关于 HTTP 安全及性能可前往 Jerry Qu 查看。 server_tokens 该响应头用于禁...
Nginx 安全设置问题
最新发布
王小工小工历程
06-04 1101
本文介绍了四种关键安全响应头的Nginx配置方案: X-XSS-Protection:建议设置为"1; mode=block"以启用XSS保护并阻止攻击页面渲染 X-Frame-Options:推荐"SAMEORIGIN"防止点击劫持攻击 X-Download-Options:配置"noopen"阻止IE自动打开下载文件 Strict-Transport-Security:强制HTTPS访问,建议包含subdomains和preload X-Per
为什么我们要使用HTTP Strict Transport Security?
weixin_33982670的博客
01-18 1195
为什么我们要使用HTTP Strict Transport Security?                                wenjian_tk0                                                                                                              2015-05-...
nginx设置X-Frame-Options防止自己的网站被其他人iframe引入
wei042的博客
03-21 3402
nginx设置X-Frame-Options属性,防止网站被别人用iframe嵌入使用。
nginx配置Strict Transport Security
weixin_30469895的博客
08-07 1820
一个网站接受一个HTTP的请求,然后跳转到HTTPS,用户可能在开始跳转前,通过没有加密的方式和服务器对话,比如,用户输入http://zt.test.com或者直接zt.test.com。这样存在中间人攻击潜在威胁,跳转过程可能被恶意网站利用来直接接触用户信息,而不是原来的加密信息。网站通过HTTP Strict Transport Security通知浏览器,这个网站禁止使用HTTP方式加载,...
Nginx 配置文件详解:`nginx.conf` 结构解析
记录学习的过程
05-26 798
本文深入解析Nginx配置文件的核心结构和使用方法。主要内容包括:1) Nginx配置文件的基础语法和层次化块结构,分为全局、events、http、server和location上下文;2) 各上下文的核心指令详解,如worker_processes、worker_connections等性能优化参数;3) HTTP上下文的关键配置,包括MIME类型、日志格式和压缩设置;4) Server和Location上下文的匹配规则与优先级。文章通过大量配置示例和对比表格,系统介绍了Nginx的高效配置方法,适合运
Nginx】深入浅出:Nginx配置文件详解
weixin_52938153的博客
05-24 1086
Nginx的主配置文件通常位于。此外,还可以在conf.d/目录中包含其他配置文件。可以根据需要定义自定义日志格式。http {Nginx是一款高性能的Web服务器和反向代理服务器,广泛用于多种场景。Nginx配置文件包含全局配置、事件模块配置、HTTP模块配置等,结构清晰。常见指令包括usererror_logpidlistenlocation等。配置HTTPS、负载均衡和缓存可以显著提高网站的安全性和性能。
Nginx提高安全与性能的最好配置详解
01-10
# 不要将Nginx版本号在错误页面或服务器头部中显示 server_tokens off; #不允许页面从框架frame 或 iframe中显示,这样能避免clickjacking # http://en.wikipedia.org/wiki/Clickjacking # 如果你允许[i]frames, 你...
nginx相关
sun_xuegang的博客
03-11 3756
1.清除缓存 add_header Last-Modified $date_gmt; add_header Cache-Control 'no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0'; if_modified_since off; expires off; etag off; 2.作为文件服务器 location /pkgs { alias /alidata1/admin/data/nginx; auto
iframe跨域地址代理(nginx配置
qq_45353152的博客
07-18 2477
端口号需要与运行项目错开,相同端口号会导致项目访问不到或者nginx启动被占用。代理掩码拼接访问地址进行访问(不加前缀浏览器会自动凭借当前访问地址进行访问)shift+鼠标右键运行运行nginx.exe(英文+未选中+右键空白处)打开nginx=> conf=>nginx.conf文件。(本来生活就很难了,碰到不配合的傻逼第三方就更难了)!经常会出现修改配置nginx修改的没生效,重新打开。配置保存并退出,终止所有nginx服务重新启动,尽量与代理地址后缀相同(避免不必要的错误)在nginx中直接通过。
nginx 不允许 iframe嵌套报表问题解决
dazhong2012的专栏
05-18 1455
Nginx 不允许 iframe 的情况通常是由于 Nginx 配置中的 X-Frame-Options 指令导致的。如果 Nginx 配置为 X-Frame-Options: DENY,则不允许任何页面通过 iframe 嵌入;如果配置为 X-Frame-Options: SAMEORIGIN,则只允许来自同一源的页面通过 iframe 嵌入。编辑 Nginx 配置文件(通常是 nginx.conf 或者网站专用的配置文件,如 /etc/nginx/sites-available/your_site)。
xss过滤
hit、run
11-30 1516
private String xssEncode(String value) { if (value == null || value.isEmpty()) { return value; } value = value.replaceAll("eval\\((.*)\\)", ""); ...
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
ideal-lingyun
09-24 1202
Nginx 防止跨站脚本 Cross-Site Scripting (XSS)
Nginx防止跨站脚本 Cross-site scripting (XSS)
JesJiang的博客
09-25 3418
nginx.conf中配置 add_header X-XSS-Protection "1; mode=block"; X-XSS-Protection 的字段有三个可选配置值 0: 表示关闭浏览器的XSS防护机制 1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置 1; mode...
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)
JavaEE菜鸟
07-14 911
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击(1)_普通网友的博客-优快云博客_nginxxss攻击
Nginx配置各种响应头防止XSS,点击劫持,frame恶意攻击
weixin_47083537的博客
07-28 2240
为什么要配置HTTP响应头? 不知道各位有没有被各类XSS攻击、点击劫持 (ClickJacking、 frame 恶意引用等等方式骚扰过,百度联盟被封就有这些攻击的功劳在里面。为此一直都在搜寻相关防御办法,至今效果都不是很好,最近发现其实各个浏览器本身提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。至于具体的效果只能是拭目以待了,但是感觉还是有一定的效果的。 而这些HTTP响应头在我们部署 Nginx 的时候经常会被忽略掉,个人感觉这
Nginx隐藏版本号与缓存优化实践
本文将深入探讨如何通过两种方法来优化Nginx隐藏版本号以增强安全性,以及调整网页缓存时间以提高用户体验。 首先,隐藏Nginx版本号是防止恶意攻击者利用版本信息发起针对性攻击的重要步骤。Nginx的版本信息通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值