Nginx安全加固系列:Referrer-Policy

原创 已于 2025-01-14 10:03:48 修改
· 694 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #安全 #运维

于 2025-01-14 10:02:55 首次发布

假设页面有一个链接,点击这个链接,会向服务器发送Http请求,加载这个链接指向的页面,在这个Http请求头里,会包含一个Referrer的标头,用于向服务器说明这个Http请求是从哪个页面跳转过来的,那么这个Referrer标头的内容就很容易被前端黑客所攻击。

所以在服务器,主要是Nginx,添加标头,用于过滤Referrer标头的不安全信息

http {
	add_header Referrer-Policy "no-referrer-when-downgrade";
}

Referrer-Policy这个标头有常用的几个值:

no-referrer:  Referer标头不随着请求一起发送
no-referrer-when-downgrade :
 	在同等安全级别(HTTPS -> HTTPS)的情况下,Referer 会被发送,
	在协议降级(HTTPS -> HTTP)的情况下 Referer 不会被发送。
origin:
	Referrer标头内容信息只包括协议+域名+端口

在这里插入图片描述

Nginx 常用配置、SSL、安全加固
冷雨夜的专栏
03-21 210
Nginx 常用配置、SSL、安全加固
Nginx与Web安全:遵循OWASP最佳实践
墨夶的博客
12-12 1082
Open Web Application Security Project (OWASP) 是一个全球性的非营利组织,致力于提高软件安全性和保护Web应用免受各种威胁。OWASP发布了一系列关于Web应用安全的研究报告、工具和指南,成为业界广泛认可的标准之一。通过本文的学习,你已经掌握了如何使用Nginx实施OWASP推荐的安全措施。无论是基本的身份验证还是复杂的日志监控,都可以通过合理的配置和优化实现高效的解决方案。结合实际应用场景,可以进一步提升系统的性能和可靠性。
http请求中的Referrer-Policy策略详解、Nfs动态添加扩展服务器以及共享目录的操作及nfs平滑重启
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
03-30 1574
No Referrer策略属性值:no-referrer意义:任何情况下都不发送 Referrer 信息。No Referrer When Downgrade策略属性值:no-referrer-when-downgrade意义 :仅当发生协议降级时不发送Referrer信息(如 HTTPS 页面引入 HTTP 资源,从 HTTPS 页面跳到 HTTP 等)时不发送 Referrer信息。这个规则是现在大部分浏览器默认所采用的。Origin Only策略属性值:origin。
蓝易云 - Nginx的referer参数的用法和原理
高性价比服务器就选:蓝易云
04-08 560
referer参数的原理是通过Nginx的valid_referers指令来指定合法的Referer来源。Nginx会检查每个请求的Referer字段,如果请求的Referer来源不在指定的合法来源列表中,Nginx将根据配置采取相应的操作,如返回403错误或执行其他操作。需要注意的是,Referer字段是由客户端发送的HTTP请求头部的一部分,表示当前请求的来源页面的URL。Nginx的referer参数是用于控制HTTP请求中的Referer字段的相关配置。这有助于防止盗链或未经授权的资源访问。
nginx配置相关策略Content-Security-PolicyReferrer-policy
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-PolicyReferrer-policy
Nginx配置Http响应头安全策略_nginx content-security-policy(1)
m0_58269520的博客
04-08 2490
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
HTTP杂谈之Referrer-Policy响应头
wzj_110的博客
01-19 1805
Referrer-Policy 各个值的解读,Referrer-Policy 使用方法。Referrer-Policy解读
nginx(四十九)使用referer模块和secure_link模块提供变量防盗链
wzj_110的博客
11-16 2231
nginx防盗链
安全渗透测评之nginx配置解决方案
just_for_that_moment的博客
08-13 9410
host头攻击漏洞,点击劫持漏洞,X-Download-Options响应头缺失,X-Permitted-Cross-Domain-Policies响应头缺失,Referrer-Policy响应头缺失,Strict-Transport-Security响应头缺失,Content-Security-Policy响应头缺失,X-XSS-Protection响应头缺失,X-Content-Type-Options响应头缺失,会话cookie中缺少HttpOnly属性......
Nginx 安全加固:配置 HTTP 头部保护
Nginx 安全加固的重要性 ## 1.1 为什么需要对 Nginx 进行安全加固? 在当今互联网环境中,Web 服务器扮演着至关重要的角色,而 Nginx 作为一款高性能的开源 Web 服务器和反向代理服务器,因其高性能、稳定性和...
Kubernetes 中部署 Nginx Ingress Controller:企业级实践指南
最新发布
记录学习的过程
05-24 1016
本文详细解析了Kubernetes中Ingress的基础概念、架构及生产级部署方案。首先,对比了Kubernetes服务暴露的四种方式(ClusterIP、NodePort、LoadBalancer、Ingress),并分析了各自的优缺点及适用场景。接着,介绍了Ingress Controller的选型,包括Nginx、Traefik、HAProxy、Envoy和AWS ALB,重点分析了它们的成熟度、性能、功能丰富度及适用场景。随后,深入探讨了Nginx Ingress的架构,包括核心组件的交互、数据平面
Web安全 -Referrer Policy“ Security 头值不安全
小工匠
12-30 4880
(引用策略)是 Web 应用程序的一个关键配置,用于定义浏览器在向目标网站发送请求时,如何处理并发送Referer头信息。Referer头可能包含敏感信息(例如:用户名、密码、文件路径、页面 URL 等),如果没有正确配置,这些信息可能被暴露给跨站点(第三方)请求,从而导致安全漏洞。不正确的配置(例如使用或unsafe-url敏感信息泄露:例如,包含敏感信息的 URL 可能会被无意间暴露给第三方网站。跨站点泄漏:如果不适当地泄露了Referer,其他站点可能会获得该敏感数据。攻击者利用信息。
http 策略之 Referrer-Policy
lxw1844912514的博客
12-28 1732
一、背景说道referer ,大家想必知道的清楚一些。referer是用来防止 CORS(跨站请求伪造)的一种最常见及有效的方式。对于自身服务器,通过客户端发来的请求中带有的referer...
Nginx配置Http响应头安全策略_nginx content-security-policy
m0_58269520的博客
04-08 2906
http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
Nginx设置允许referer头请求、允许跨域等
qq_24615449的博客
12-28 1万+
Nginx设置允许referer头请求、允许跨域等
nginx 漏洞修复(二)
趴着的猫的博客
05-18 6362
1、HTTP Referrer-Policy 响应头缺失 描述: Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。 当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。但是也成为了一个不安全的因素,所以就有了 Referrer-Policy,用于过滤 Referrer 报头内容,其可选的项有:.
Nginx配置Http响应头安全策略
热门推荐
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
检测到目标Referrer-Policy响应头缺失
lxyoucan的博客
07-14 5282
Web 服务器对于 HTTP 请求的响应头中缺少 Referrer-Policy,这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时,会产生一个 HTTP 请求,用于获取新的页面内容,而在该请求的报头中,会包含一个 Referrer,用以指定该请求是从哪个页面跳转页来的,常被用于分析用户来源等信息。
几个“HTTP 请求头”告警处理
虫虫的博客
09-23 3059
给NC搬了个家,发现又是一堆警告,都是HTTP响应头相关的,不太影响使用,但对于强迫症来说,不解决一下怎么行 一些老旧的告警解决方法之前都写过了,见这里:https://bugxia.com/?s=nextcloud+后台+警告 HTTP的请求头 “Strict-Transport-Security” 未设置为至少 “15552000” 秒。 HTTP 请求头 “X-Content-Type-Options” 没有配置为 “nosniff”。这是一个潜在的安全或隐私风险,我们建议您调整这项设置。 HT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值