nginx配置相关策略Content-Security-Policy、Referrer-policy

最新推荐文章于 2025-04-03 10:59:31 发布
最新推荐文章于 2025-04-03 10:59:31 发布
阅读量1.3w 收藏 14
点赞数 12
分类专栏: 运维那些事 文章标签: nginx 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_46803792/article/details/129031051
版权

最近在安全测试中发现了一下网站的问题:
在这里插入图片描述主要是配置一些参数:这些可以前端配置,也可以在nginx中进行配置
在nginx的server中添加请求头信息:

add_header Content-Security-Policy “upgrade-insecure-requests;connect-src *”;
add_header X-XSS-Protection “1; mode=block” always;
add_header X-Content-Type-Options “nosniff” always;
add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload” always;
add_header Cache-Control no-store;
add_header X-Frame-Options SAMEORIGIN;
add_header Permissions-Policy “geolocation=(),midi=(),microphone=(),camera=(),fullscreen=(self)”;
add_header Referrer-Policy “no-referrer-when-downgrade”;

Referrer-policy

Referrer Policy是W3C官方提出的一个候选策略,主要用来规范Referrer,简单来说就是规定什么时候发送 Referer 字段,以及发送哪些信息。

最初是只有5种策略的,现在规范增加到9种:

no-referrer
整个 Referer 首部会被移除,Referer 不随着请求一起发送。

no-referrer-when-downgrade (默认值)
在没有指定任何策略的情况下用户代理的默认行为。在同等安全级别(HTTPS -> HTTPS)的情况下,Referer 会被发送,在协议降级(HTTPS -> HTTP)的情况下 Referer 不会被发送。

origin
Referrer 发送的信息只包括协议+域名+端口,不包括其它信息。例如 https://example.com/page.html 会将 https://example.com/ 作为引用地址。

origin-when-cross-origin
对于同源的请求,会发送完整的URL作为引用地址,但是跨域时候只发送协议+域名+端口。

same-origin
同源请求发送,否则不发送。

strict-origin
在同等安全级别(HTTPS -> HTTPS)的情况下,发送Referrer(协议+域名+端口),但是在协议降级(HTTPS -> HTTP)的情况下不会发送。

strict-origin-when-cross-origin
对于同源的请求,会发送完整的URL作为引用地址;对于跨域请求,在同等安全级别(HTTPS -> HTTPS)的情况下,发送Referrer(协议+域名+端口);在协议降级(HTTPS -> HTTP)的情况下不发送此首部。

unsafe-url
无论协议是否降级,也不管是同源请求还是跨域请求,都发送完整的 URL(移除参数信息之后)作为引用地址,所以这种是一种不安全的协议。

这项设置会将受 TLS 安全协议保护的资源的源和路径信息泄露给非安全的源服务器。进行此项设置的时候要慎重考虑。——
Referrer-Policy,MDN文档

空字符串
相当于没有设置,在没有此类更高级别策略的情况下,默认使用 no-referrer-when-downgrade

Content Security Policy (CSP)

简单来说:CSP 通过告诉浏览器一系列规则,严格规定页面中哪些资源允许有哪些来源, 不在指定范围内的统统拒绝。

其实施有两种途径:

  1. 服务器添加 Content-Security-Policy 响应头来指定规则
  2. HTML 中添加 标签来指定 Content-Security-Policy 规则

配置相关参数,请找度娘

nginx解决内容安全策略CSP(Content-Security-Policy配置方式
yb创作中心
09-09 4万+
nginx解决内容安全策略CSP(Content-Security-Policy配置方式(项目实战亲测使用) 下面这段配置拷贝到配置文件即可,注意顺序不能乱 add_header Content-Security-Policy "default-src 'self' static4.segway.com(该地址按需修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-Xss-Protection "1;mode=
Nginx配置Http响应头安全策略_nginx content-security-policy
2301_82257383的博客
04-28 1354
但是有一些资源的类型是未定义或者定义错了,导致浏览器会猜测资源类型,尝试解析内容,从而给了脚本攻击可乘之机。用于控制网页在哪些框架中显示,控制页面是否可以用于ifram中,如果使用,是什么范围。注意:此配置会屏蔽范围外的脚本,如果是已经上线的系统,需要考虑下是否有引入外部脚本的情况,避免盲目增加配置,导致生产事故。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中包含一个。,可以使用以下代码:注意,这里的引号是必需的,因为选项值中包含了空格。
nginx 教程
guorui999的博客
01-18 638
Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。Nginx是由伊戈尔·赛索耶夫为俄罗斯访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发布于2004年10月4日。其将源代码以类BSD许可证的形式发布,因它的稳定性、丰富的功能集、简单的配置文件和低系统资源的消耗而闻名。2011年6月1日,nginx 1.0.4发布。Nginx是一款轻量级的Web服务器/反向代理服务器及电子邮件。
nginx漏扫响应头缺失
小小关的博客
06-29 3006
二、nginx.conf http当中添加server_tokens off; 替换对应的站点域名;
HTTP 响应头 Strict-Transport-Security 缺失漏洞
最新发布
itScholar001的博客
04-03 758
这个漏洞就是说明网站的HTTP响应头中没有设置Strict-Transport-Security,没有设置则可以通过将https自己手动改成htttp的方式进行访问。HTTP 响应头 Strict-Transport-Security 缺失漏洞。如果此时你用http去访问的话则会报403 forbidden错误。http去访问的话则会报403 forbidden错误。添加了这个之后请求的响应头就会有这一段。2.手动在代码中设置。
Nginx 低风险漏洞更新
chenguibin10的专栏
12-18 565
检测到目标 X-Content-Type-Options响应头缺失 这个暂时不开启,不然部分banner无法使用。# 检测到目标 X-Permitted-Cross-Domain-Policies响应头缺失。# 检测到目标 Strict-Transport-Security响应头缺失。# 检测到目标 Content-Security-Policy响应头缺失。# 检测到目标 X-Download-Options响应头缺失。# 检测到目标 X-XSS-Protection响应头缺失。
Nginx配置Http响应头安全策略
热门推荐
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx配置Http响应头安全策略_nginx content-security-policy(1)
m0_58269520的博客
04-08 2481
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Nginx 解决内容安全策略CSP(Content-Security-Policy配置方式
ideal-lingyun
09-24 4912
Nginx 解决内容安全策略CSP(Content-Security-Policy配置方式
Nginx 常用安全头
m0_74823705的博客
02-14 1368
Web 应用中配置 HTTP 安全响应头是提升网站安全性的重要一步。合理配置 Nginx 的安全头,可以抵御常见的安全威胁(如 XSS、点击劫持、MIME 类型嗅探等),增强用户隐私保护和传输安全性。:限制资源(如脚本、样式、图片等)的加载来源,防止 XSS 和数据注入攻击。<object><embed>iframe注意事项:如果需要加载第三方资源(如 CDN),需显式添加来源。避免使用和,减少 XSS 风险。
ContentSecurityPolicyFilter:一个可配置的Java Servlet过滤器,将“ Content-Security-Policy”标头添加到ServletResponse
05-02
内容安全策略过滤器(Java) 将“ Content-Security-Policy”或“ Content-Security-Policy-Report-Only”标头添加到响应中。 另请参阅: 通常,您只需要有限的数目,也不需要任何init参数。 如果未定义init参数,则Header将如下所示: Content-Security-Policy = default-src 'none' 这是ContentSecurityPolicyFilter的示例完整配置。 <filter> <filter>ContentSecurityPolicyFilter</filter> <filter>de.saville.csp.ContentSecurityPolicyFilter</filter>
csp:PSR-15中间件,将Content-Security-Policy标头添加到响应中
02-17
中间件/ csp 使用库在响应中添加标头的中间件。 要求 PHP> = 7.2 安装 该软件包可通过Composer作为安装和自动加载。 composer require middlewares/csp 例子 use ParagonIE \ CSPBuilder \ CSPBuilder ; $ csp = CSPBuilder :: fromFile ( '/path/to/source.json' ); Dispatcher :: run ([ new Middlewares \ Csp ( $ csp ) ]); 用法 将CSP构建器设置为构造器。 有关更多信息,请参见 。 如果未提供,则创建一个带有限制性指令的通用指令。 遗产 为旧的浏览器生成旧的CSP标头( X-Content-Security-Policy和X-Webkit-CSP )。 默认情况下为true但您可
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 9386
host头攻击漏洞,点击劫持漏洞,X-Download-Options响应头缺失,X-Permitted-Cross-Domain-Policies响应头缺失,Referrer-Policy响应头缺失,Strict-Transport-Security响应头缺失,Content-Security-Policy响应头缺失,X-XSS-Protection响应头缺失,X-Content-Type-Options响应头缺失,会话cookie中缺少HttpOnly属性......
漏洞扫描,解决缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头问题
hsc的博客
07-22 7187
缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方法 用AppScan扫描网站,高危问题:缺少“X-XSS-Protection”,“X-Content-Type-Options”, “Content-Security-Policy”头解决方式 解决方法 将下面内容添加到nginx.conf 文件http 结构下 # security headers add_header X-Frame-Options
Nginx配置Http响应头安全策略_nginx content-security-policy(2)
m0_58269520的博客
04-08 2588
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
2024年最新Nginx配置Http响应头安全策略_nginx content-security-policy(1),2024年最新网络安全开发框架
2401_84267735的博客
05-11 1049
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
Spring Boot项目中怎么设置内容安全策略Content Security Policy
冥胖胖9的博客
10-18 3230
CSP是一种Web安全策略,通过告诉浏览器只允许特定来源的内容加载,可以有效减少XSS和其它代码注入的风险。通过HTTP头或HTML<meta>标签定义允许的资源来源;限制页面加载外部资源的权限,如脚本、样式表、图像等。跨站脚本攻击(XSS):阻止恶意脚本在页面中执行;数据注入:通过限制资源加载,减少不信任来源的数据注入可能性。nonce(Number Once)是一个临时的、唯一的字符串,它被添加到每个内联样式或脚本标签中,作为该标签的“授权令牌”。
Nginx配置----安全篇
Samuel_gan的博客
10-28 1845
Nginx 配置之安全篇 文章目录 隐藏不必要的信息禁用非必要的方法合理配置响应头HTTPS 安全配置 之前有细心的朋友问我,为什么你的博客副标题是「专注 WEB 端开发」,是不是少了「前端」的「前」。我想说的是,尽管我从毕业到现在七年左右的时间一直都在专业前端团队从事前端相关工作,但这并不意味着我的知识体系就必须局限于前端这个范畴内。现在比较流行「全栈工程师」的
add_ header Content-Security-Policy upgrade-insecure-requests;
08-30
add_header Content-Security-Policy "upgrade-insecure-requests;" 是一个用于设置网站的内容安全策略的指令。该指令的作用是告诉浏览器在加载页面时将不安全的HTTP请求升级为安全的HTTPS请求。 这样做的目的是为了提高网站的安全性,防止恶意攻击者通过篡改非加密的HTTP连接来获取用户的敏感信息或者进行其他恶意行为。当浏览器收到这个指令后,在加载页面时会自动将所有的HTTP请求转为HTTPS请求,从而保护用户的数据安全。 同时,可以通过在服务器的响应头中添加 Content-Security-Policy 来指定其他的安全策略规则,例如指定允许的资源加载源和限制的操作权限,以增强网站的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [nginx add_header Content-Security-Policy “upgrade-insecure-requests;connect-src *“;](https://blog.youkuaiyun.com/qq_32590631/article/details/114050969)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [nginx配置相关策略Content-Security-PolicyReferrer-policy](https://blog.youkuaiyun.com/m0_46803792/article/details/129031051)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值