解决nginx配置“add_header X-Content-Type-Options nosniff;”后导致phpcmsV9点击量不显示的问题

修复X-Content-Type-Options漏洞影响
最新推荐文章于 2025-01-14 10:19:19 发布
原创 最新推荐文章于 2025-01-14 10:19:19 发布 · 561 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#nginx #运维 #phpcmsv9 #javascript

在处理““X-Content-Type-Options”头缺失”漏洞时,给nginx服务器站点配置 add_header X-Content-Type-Options nosniff; 后,发现phpcmsV9站点的点击量不显示了……

本来想着调整api文件夹中的count.php文件的,但考虑到可能引起其它问题,并以尽量不动原系统文件为原则,现做以下调整:

将模板文件show.html中的

<script language="JavaScript" src="{APP_PATH}api.php?op=count&id={$id}&modelid={$modelid}"></script> 

替换为:

<script>
$.get("api.php?op=count&id={$id}&modelid={$modelid}", function(data) {
    var func = new Function(data);
    func();
});
</script>

Nginx:设置响应headercontent-type
风静如云的博客
11-17 1万+
导致响应中有两个content-type,一个是image/jpeg,另一个是application/octet-stream。Nginx通常根据/etc/nginx/mime.types文件中类型设置content-type。如果需要可以对location进行正则匹配,这样可以根据需要返回响应头Content-Type。那么当下载图片时,浏览器会在窗口内直接显示图片,而是另存为文件。
浅谈 Nginx 头部配置add_header 及其常见功能实践
web15085181368的博客
12-06 1496
add_headerNginx 配置文件中的一个指令,用于在 HTTP 响应头中添加新的头部信息。该指令可以在同的上下文中使用,包括 http、server、location 和 if 块中。通过 add_header,你可以控制客户端浏览器的行为,增强安全性,提供额外的信息等。
nginx web 安全配置
栋院
02-27 8440
1、配置响应头(X-Content-Type-Options、X-Frame-Options、X-XSS-Protection) server{ add_header X-Frame-Options SAMEORIGIN; add_header X-XSS-Protection '1;mode=block'; add_header X-Content-Type-Options nosniff; } 注: X-Frame-Options: 有些资源的Content-Type
【已解决】“X-Content-Type-Options”头缺失或安全
wangluoanquan111的博客
03-25 3131
从时代发展的角度看,网络安全的知识是学完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有懂的地方可以找我咨询,我保证知无言言无尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
[Web开发] IE 如何判断文件的类型
IE浏览器开发
02-11 3741
浏览器如何判断一个文档的类型是txt,还是html?还是JPG? 还是XML ? .... 同的文档类型应该使用同的方式去显示。 比较标准的判断文档类型依据是:1) 通过HTTP 请求数据包headerContent-Type值2)通过文件扩展名 但是这2个依据并是每次都可靠的。有很多服务器没有被很好配置,于是就没有content-type这项。另外,很多动态的PH
Nginx 错误页面无法显示add_header设置的响应头
cybbink的博客
02-24 1680
Nginx 错误页面无法显示add_header设置的响应头 nginx在使用add_header指令设置了返回的请求头后 add_header X-Frame-Options "SAMEORIGIN"; 请求如果返回的是200的状态码,在返回的响应头中会包含设置的值 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Pnt6VnJt-1614156273183)(C:\Users\chenyaobin\AppData\Roaming\Typora\typora-user-im
nginx漏扫响应头缺失
热门推荐
挣扎技术
03-04 1万+
一、漏扫出现问题 检测到目标X-Content-Type-Options响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到错误页面web应用服务器版本信息泄露 修改404页面及500页面,要出现apache、nginx等字样 检测到目标Referrer-Policy响应头缺失 add_header 'Referrer-Policy' 'origin'; 检测到目标X-XSS-Protection响应头缺失 add_header X-Xss-he
nginx-1.19.3_nginx-http-flv-module.rar
09-01
标题中的"nginx-1.19.3_nginx-http-flv-module.rar"表明这是一个关于Nginx服务器的软件包,特别地,它包含了Nginx的1.19.3版本,并且已经集成了`nginx-http-flv-module`模块。这个模块是用于支持HTTP FLV(Flash ...
Nginx配置Content-Security-Policy”头 、“X-XSS-Protection”头 和“X-Content-Type-Options”头
weixin_42564514的博客
07-24 1万+
如上图配置 add_header X-Content-Type-Options: nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'"; 如上图即成功
安全头响应头(三)​X-Content-Type-Options
xnxqwzy的博客
03-05 3759
一 [X-Content-Type-Options响应头](https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Content-Type-Options “X-Content-Type-Options响应头”)① 基础铺垫② 浏览器默认行为③ 问题引入相关配置说明④ 参考链接[css 的content-type"text/html" 是 “text/css”
nginx代理能否add header
leijmdas的专栏
07-02 1282
在这个例子中,我们添加了自定义的 HTTP 头部 X-Custom-Header ,修改了 Content-Type 头部,并且根据请求方法添加了条件性的头部 X-Method-Type。在代理请求时,我们添加了 X-Proxy-Used 头部以表明请求是通过 Nginx 代理的。使用 add_header 指令,你可以给客户端的响应中添加新的 HTTP 头部,或者修改现有的头部。# 代理请求时添加头部。# 条件性地添加头部。# 添加一个新的头部。
Nginx安全加固系列:X-Content-Type-Options
qq_36835255的博客
01-14 879
通常X-Content-Type-Options是在location进行设置。Nginx添加响应标头:X-Content-Type-Options,这个响应标头是一个很重要的安全设置,是防止MIME类型混淆攻击。
nginx配置教程之add_header的坑详解
thlzjfefe的博客
12-07 1万+
前言 add_headerheaders 模块中定义的一个指令,顾名思义就是用来添加 http 响应头的。但请注意他只是「添加」而已,并是重写。所以如果已经存在某个头,再使用 add_header 就会出问题。而且在低版本的 nginxadd_header支持在错误页面中使用。 这是一个坑比较多的指令。它的处理阶段比 location 处理晚,虽然可以写在 location 中,但如果 rewrite 别的 location,那么上一个 location 中尚未处理的 add_hea
【随笔】nginx add_header指令的使用
weixin_30588675的博客
12-19 416
  nginx配置文件通过使用add_header指令来设置response header。   具体方法如下:   add_header key value add_header Cache-Control no-store add_header Content-Encoding gzip   用以改变Content-Type时比较特殊,可以在它设置了类型的同时还会指定char...
安全修复之Web——HTTP X-Content-Type-Options缺失
CN華少的博客
05-01 3940
安全修复之Web——HTTP X-Content-Type-Options缺失 背景 日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。 开发环境 系统:windows10 语言:...
Nginx漏洞修复
乾坤鸟的博客
12-01 3923
Nginx配置文件中的 server 标签内增加一下配置。去掉在请求响应头中存在的信息。 Server: nginx X-Content-Type-Options: nosniff X-Frame-Options: SAMEORIGIN X-XSS-Protection: 1;mode=block
X-Frame-Options X-XSS-Protection X-Content-Type-Options 响应头的配置
吃个榴莲压压鲸的博客
09-22 4498
nginx配置Header头设置 通过以下设置可有效防止XSS攻击 add_header X-Frame-Options "SAMEORIGIN"; add_header X-XSS-Protection "1; mode=block"; add_header X-Content-Type-Options "nosniff"; X-Frame-Options: 响应头表示是否允许浏览器加载frame等属性,有三个配置DENY禁止任何网页被嵌入,SAMEORIGIN只允许本网站的嵌套,ALLOW
add_header X-Frame-Options DENY; add_header X-Content-Type-Options nosniff; add_header X-Xss-Protection 1;
最新发布
04-02
<think>好的,我现在需要帮助用户配置HTTP响应头来增强Web安全性,具体是关于X-Frame-Options、X-Content-Type-Options和X-XSS-Protection的设置。首先,我得回忆一下这三个头的具体作用和正确的配置值。 用户提到了三个头:X-Frame-Options设为DENY,X-Content-Type-Options设为nosniff,X-XSS-Protection设为1。我需要确认这些值的正确性,以及如何在同服务器环境中配置它们,比如Apache、Nginx或者通过代码设置。 首先,X-Frame-Options的作用是防止点击劫持,DENY表示完全禁止页面被嵌入到frame或iframe中。SAMEORIGIN是允许同源的情况,但用户这里要求DENY,所以需要确认是否正确。然后,X-Content-Type-Optionsnosniff是阻止浏览器嗅探文件类型,强制按照Content-Type来解析,这对防止MIME类型混淆攻击很重要。X-XSS-Protection的1; mode=block则是启用XSS过滤,并在检测到攻击时阻止页面加载,用户这里写的是1,可能需要补充mode=block。 接下来,我需要检查用户提供的引用内容是否正确。引用中提到的配置示例,比如在.htaccess中添加Header set指令,或者Nginx中的add_header,这些都是正确的。但要注意,在Nginx中,如果之前有add_header指令,可能会覆盖,需要确保合并或正确放置。 然后,我需要考虑同服务器的配置方法,比如Apache使用mod_headers模块,而Nginx使用add_header指令。此外,还需要提醒用户注意配置的位置,比如在全局配置或者特定的location块中。另外,可能需要提到在应用层代码中设置这些头,比如在PHP中使用header()函数。 另外,关于X-XSS-Protection,虽然用户提到设为1,但最佳实践是1; mode=block,需要指出这一点。同时,现代浏览器可能已经弃用了X-XSS-Protection,建议使用Content-Security-Policy来代替,但用户没有提到这个,可能需要作为补充建议。 还需要注意配置的语法是否正确,比如在Apache中是否正确使用了Header set指令,是否启用了mod_headers模块。在Nginx中,是否每个add_header都正确无误,没有遗漏分号等。 最后,要提醒用户测试配置是否生效,可以使用浏览器开发者工具检查响应头,或者在线工具如securityheaders.com来扫描。同时,可能存在的注意事项,比如多个配置冲突,或者缓存问题,需要清除缓存后测试。 总结步骤应该是先分别解释每个头的作用和配置值,然后给出同服务器的配置示例,最后补充注意事项和测试方法。这样用户就能清晰地按照步骤进行配置,确保安全性提升。</think>### 配置HTTP安全响应头的分步指南 #### 1. **X-Frame-Options** **作用**:防止点击劫持(Clickjacking),控制页面是否可被嵌入到其他网页的框架(如`<iframe>`)中[^5]。 **配置值**: - `DENY`:完全禁止页面被嵌入到任何框架中。 - `SAMEORIGIN`:仅允许同源域名下的框架嵌入。 **配置示例**: - **Apache**(通过`.htaccess`或虚拟主机配置): ```apache <IfModule mod_headers.c> Header set X-Frame-Options "DENY" </IfModule> ``` - **Nginx**: ```nginx add_header X-Frame-Options "DENY"; ``` #### 2. **X-Content-Type-Options** **作用**:禁止浏览器自动猜测资源类型(MIME嗅探),强制按`Content-Type`头声明的方式解析内容,防止因类型混淆导致的安全漏洞[^4]。 **配置值**:`nosniff`(唯一有效值)。 **配置示例**: - **Apache**: ```apache Header set X-Content-Type-Options "nosniff" ``` - **Nginx**: ```nginx add_header X-Content-Type-Options "nosniff"; ``` #### 3. **X-XSS-Protection** **作用**:启用浏览器内置的XSS攻击过滤机制[^3]。 **配置值**: - `1`:启用过滤(旧版浏览器支持)。 - `1; mode=block`:启用过滤,并在检测到XSS攻击时直接阻止页面渲染(推荐)。 - `0`:禁用过滤(推荐)。 **配置示例**: - **Apache**: ```apache Header set X-XSS-Protection "1; mode=block" ``` - **Nginx**: ```nginx add_header X-XSS-Protection "1; mode=block"; ``` --- ### 完整配置示例 #### Apache(.htaccess) ```apache <IfModule mod_headers.c> Header set X-Frame-Options "DENY" Header set X-Content-Type-Options "nosniff" Header set X-XSS-Protection "1; mode=block" </IfModule> ``` #### Nginx配置文件) ```nginx server { # ... add_header X-Frame-Options "DENY"; add_header X-Content-Type-Options "nosniff"; add_header X-XSS-Protection "1; mode=block"; # ... } ``` #### 代码层设置(如PHP) ```php header("X-Frame-Options: DENY"); header("X-Content-Type-Options: nosniff"); header("X-XSS-Protection: 1; mode=block"); ``` --- ### 注意事项 1. **兼容性**: - `X-XSS-Protection`已逐渐被现代浏览器(如Chrome)废弃,建议使用更强大的`Content-Security-Policy`替代[^3]。 2. **顺序与覆盖**: - Nginx中若存在多个`add_header`指令,需确保它们位于同一作用域,否则后续配置可能覆盖之前的设置。 3. **测试验证**: - 使用浏览器开发者工具(Network选项卡)检查响应头是否生效(如右图示例)。 - 通过在线安全扫描工具(如[securityheaders.com](https://securityheaders.com))验证配置---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大海哪蓝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值