通过Nginx设置响应头信息,解决Web应用漏洞

最新推荐文章于 2025-04-09 14:15:04 发布
最新推荐文章于 2025-04-09 14:15:04 发布
阅读量2.3k 收藏 17
点赞数 6
文章标签: nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_52956719/article/details/137234820
版权

响应头:HTTP X-XSS-Protection缺失

解决方案:

add_header X-XSS-Protection 1;

解析:

此响应头用来防范xss攻击

0:禁用XSS保护;

1:启用XSS保护;

1; mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

响应头:X-Frame-Options Header未配置

解决方案:

add_header X-Frame-Options SAMEORIGIN always;

解析:

此响应头用来防范点击劫持攻击

1:DENY

表示该页面不允许在frame中展示,即便是在相同域名的页面中嵌套也不允许。

2:SAMEORIGIN

表示该页面可以在相同域名页面的frame中展示。

3:ALLOW-FROM uri

表示该页面可以在指定来源的frame中展示。

响应头:HTTP X-Content-Type-Options缺失

解决方案:

add_header X-Content-Type-Options 'nosniff';

解析:

缺少 X-Content-Type-Options,意味着此网站更易遭受跨站脚本攻击(XSS)

nosniff 只应用于以下两种情况的请求将被阻止:

1:请求类型是 style 但是 MIME 类型不是 text/css。

2:请求类型是 script 但是 MIME 类型不是 JavaScript MIME 类型。

响应头:HTTP Referrer-Policy缺失

解决方案:

add_header Referrer-Policy  "no-referrer-when-downgrade";

解析:

用于过滤 Referrer 报头内容

1:no-referrer-when-downgrade:当发生降级(比如从 https:// 跳转到 http:// )时,不传递 Referrer 报头。但是反过来的话不受影响。通常也会当作浏览器的默认安全策略。

2:no-referrer:不传递 Referrer 报头的值。

3:same-origin:同源才会传递 Referrer。

4:origin:将当前页面过滤掉参数及路径部分,仅将协议、域名和端口(如果有的话)当作 Referrer。

5:strict-origin:类似于origin,但不能降级

6:origin-when-cross-origin:跨域时和origin模式相同,否则 Referrer 还是传递当前页的全路径。

7:strict-origin-when-cross-origin:类似于origin-when-cross-origin,但不能降级

8:unsafe-url:任意情况下,都发送当前页的全部地址到 Referrer,宽松和不安全的策略。

响应头:HTTP Content-Security-Policy缺失

解决方案:

add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-eval' blob: data: ;";

解析:

用于检测并削弱某些特定类型的攻击,包括跨站脚本和数据注入攻击等

1:default-src 默认策略,可以应用于所有请求

2:* 允许任意地址的url

3:unsafe-inline 允许行内代码执行

4:unsafe-eval 允许不安全的动态代码执行,JavaScript的 eval()方法

响应头:HTTP X-Permitted-Cross-Domain-Policies缺失

解决方案:

add_header X-Permitted-Cross-Domain-Policies  "master-only" always;

解析:

一种安全策略,用于控制其他域名可以如何使用当前域名的资源。

1:"master-only"表示只允许当前域名的主站点使用该站点的资源,其他域名不允许使用。

2:添加"always"参数可以确保该头信息始终向客户端发送,无论响应状态码是什么。

响应头:HTTP X-Download-Options缺失

解决方案:

add_header X-Download-Options noopen;

解析:

一种安全策略,用于防止直接打开用户下载

1:noopen 用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。

会话Cookie中缺少HttpOnly、secure属性

解决方案:

add_header Set-Cookie  "HttpOnly";
add_header Set-Cookie  "Secure";

解析:

Secure属性:Cookie通信只限于加密传输,指示浏览器仅仅在通过安全/加密连接才能使用该Cookie。

HttpOnly属性:指示浏览器不要在除HTTP(和HTTPS)请求之外暴露Cookie

示例:

http{
    server{
        add_header Set-Cookie  "HttpOnly";
        add_header Set-Cookie  "Secure";
        add_header X-XSS-Protection 1;
        add_header X-Frame-Options SAMEORIGIN always;
        add_header X-Content-Type-Options 'nosniff';
        add_header Referrer-Policy  "no-referrer-when-downgrade";
        add_header Content-Security-Policy "default-src 'self' * 'unsafe-inline' 'unsafe-        eval' blob: data: ;";
        add_header X-Permitted-Cross-Domain-Policies  "master-only" always;
        add_header X-Download-Options noopen;        
    }

}
程序员用Python爬虫做副业半个月就赚了3W
热门推荐
程序员干货站
04-23 1万+
四月接近尾声,Python爬虫兼职接单高潮期已经到来,最近圈子里喜报频传,很多朋友都接到了大单,甚至有人靠Python爬虫做副业半个月就赚了3W! 这年头,只要肯动脑,肯行动,程序员凭借自己的技术,赚钱的方式还是有很多种的。仅仅靠在公司出卖自己的劳动时间挣钱,这是最最最笨的一种方式。在我看来在公司打工是一种时间不可复用,且技能又不断重复的苦力活。 我今天给大家的讲的一个故事: 我的一个朋友,一个程序员,其实自己也没有做什么高深的技术,也不需要依靠用户的大数据分析,为客户找精准用户,但是,他自己开发了一个工
影刀机器人操作-常用知识
m0_47616039的博客
06-26 6558
所以此处使用等待图片消失功能,若图片消失,才点击导出报表。通常配合if使用,如循环1 2 3 4 5的值,若只想要1 2 4 5 的值,那么就是不要3这个值,则加个条件判断,如果循环到的值为3,则跳过,此功能可以理解为跳过当前循环。网页更新导致元素位置元素信息等元素属性更变,根据报错提示行,在机器人中找到当前行,点编辑元素,再校验元素,若提示未找到元素,重新捕获即可。如果条件满足,则执行if里的指令,否则,则不执行,此处循环列表元素,if条件判断,如果循环到的值为2024,则打印出来。
程序员第二职业副业指南
03-22
作为一名大龄程序员,在面对35岁职业危机时,发展第二职业或副业是一项明智且普遍的选择。通过利用丰富的技术经验和行业知识,可以探索多种路径来扩展职业生涯。成功地将自己的专业知识转化为持续的收入流,并拓宽了职业发展的道路。这不仅是应对职业危机的有效策略,也为未来开辟了更多的可能性。
副业项目02:B站引流变现,全自动日赚100+
01-07
02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+ 02:B站引流变现,全自动日赚100+
影刀RPA的魔法指令实现数据清洗、转换和汇总
最新发布
enter回车键
04-09 516
在开始使用影刀RPA之前,我首先分析了我的日常工作流程,找出那些重复性、规则性的任务,这些任务最适合用AIRPA来实现自动化。在这篇文章中,我将分享我如何使用影刀RPA(Robotic Process Automation)的魔法指令来挑战用AI替代我的工作,并实现了特定流程的自动化。通过分析日常工作流程,并使用影刀RPA实现流程自动化,我可以提高工作效率、降低错误率,从而更好地应对现代工作挑战。通过使用影刀RPA的魔法指令,我成功地实现了数据清洗、转换和汇总等流程的自动化。二、挑战用AI替代我的工作。
副业项目 06:一天引流100+宝妈粉,日入1000+.rar
01-07
副业项目 06:一天引流100+宝妈粉,日入1000+
程序员精益副业指南:它提供了实用的建议和方法,帮助程序员在工作之余探索副业的机会,实现个人发展和收入增长
03-12
http://r.ftqq.com/lean-side-bussiness/020102.html 一本教程,指导程序员如何优雅地做副业。它提供了实用的建议和方法,帮助程序员在工作之余探索副业的机会,实现个人发展和收入增长。对于有志于副业创业的程序员,精益副业是一本有价值的指南
影刀自动化采集底层逻辑
诡途的博客
09-26 4174
开发的主要流程,一般工作内容是采集/操作浏览器网页,也会有一些客户端交互案例,比如千牛客服,钉钉消息批处理等。更多的工作场景还是基于网页进行的,所以我们还是以网页交互为主。在采集的过程中主要逻辑是先跟浏览器建立联系,在影刀中主要使用create后续所有操作都是对网页交互所以我们后续频繁使用的功能将是web下面的指令,可以重点了解视频版同步详见新鲜出炉的UP主,来当未来百大的老粉吧。
使用影刀开发脚本、Python正则表达式
weixin_59759238的博客
06-10 4306
使用影刀和初识正则表达式
Textinput,输入框一些基本用法
qq_62975986的博客
03-11 2134
qml输入框
影刀RPA:企业数字化转型的得力助手
微刻
09-04 2076
影刀RPA是一款功能强大的机器人流程自动化软件,它能够帮助用户自动化执行各种重复性任务,从而提高工作效率和准确性,影刀RPA提供了直观的拖拽式流程设计器,即使没有编程背景的用户也能快速上手构建自动化流程,影刀RPA支持Windows、Mac、信创系统(如统信UOS、银河麒麟、Linux)、Android等多种操作系统,影刀RPA能够自动化桌面软件、Web程序、手机App、鼠标键盘操作、Excel操作、数据库及SQL等 ,影刀RPA提供了丰富的学习资源,包括在线课程、社区支持和帮助中心
27条好赚钱副业的忠告:自己也能月入2万+
这个时代,作为程序员可能要学习小程序
10-23 1937
前言最近我的知乎号也是越做越好了,很多读者私聊我有没有副业可以做,自己平常除本职的工作之外,也会去做一些其他事情。写公众号,搞搞小视频,偶尔还接点小私活,平常还收了几个小徒弟。然而知乎上...
影刀 AI-Power:让每个人都成为自动化高手
微刻
03-01 1276
在这个数字化飞速发展的时代,影刀RPAAI技术的结合为我们带来了前所未有的便利和效率提升。我们期待着更多的人能够加入到影刀开发者的行列中来,共同探索和创造更多令人惊叹的自动化解决方案。想象一下,当每一个人都能够掌握影刀的开发技巧,将那些繁琐、重复的工作交给机器人去完成,我们就可以从这些机械式的劳作中解脱出来,将时间和精力投入到更有意义的事情上。我们可以有更多的时间去陪伴家人、朋友,去追求自己的兴趣爱好,去思考和创造那些能够推动社会进步的伟大想法。
拿下影刀证书只是开始:持续学习才是硬道理!
微刻
02-27 1711
熟练掌握影刀 RPA 的指令功能是高效应用的基础。影刀 RPA 提供了丰富的指令集,涵盖了从简单的数据操作到复杂的流程控制。例如,其数据处理指令能够高效完成数据清洗、格式转换等任务,流程控制指令则可以实现复杂的业务逻辑。根据实际应用案例,熟练使用这些指令可以将工作效率提升 50%以上。例如,某企业通过掌握影刀的数据处理指令,将原本需要人工 8 小时完成的数据整理工作缩短至 30 分钟。欢迎大家进群交流。
影刀RPA篇(网页数据爬取)
weixin_51885096的博客
06-02 9305
主要内容:通过影刀RPA循环爬取不同页面的详情信息。影刀RPA - 影刀官网 (yingdao.com)最后希望此篇可以为大家提供一些帮助,小弟第一次用影刀,也是第一次写这种类型的博客,表述可能存在一定的问题,欢迎大家在评论区留言,也希望高手可以指正,会及时回复!
影刀RPA实战:制作Excel工资条
微刻
10-10 2122
影刀RPA是一款功能强大的机器人流程自动化软件,它能够帮助用户自动化执行各种重复性任务,从而提高工作效率和准确性,影刀RPA提供了直观的拖拽式流程设计器,即使没有编程背景的用户也能快速上手构建自动化流程,影刀RPA支持Windows、Mac、信创系统(如统信UOS、银河麒麟、Linux)、Android等多种操作系统,影刀RPA能够自动化桌面软件、Web程序、手机App、鼠标键盘操作、Excel操作、数据库及SQL等 ,影刀RPA提供了丰富的学习资源,包括在线课程、社区支持和帮助中心
影刀知识点总结
gf1321111的博客
01-26 1562
影刀知识点总结
影刀RPA学习路线及方法:从入门到精通
微刻
09-05 5951
影刀RPA是一款功能强大的机器人流程自动化软件,它能够帮助用户自动化执行各种重复性任务,从而提高工作效率和准确性,影刀RPA提供了直观的拖拽式流程设计器,即使没有编程背景的用户也能快速上手构建自动化流程,影刀RPA支持Windows、Mac、信创系统(如统信UOS、银河麒麟、Linux)、Android等多种操作系统,影刀RPA能够自动化桌面软件、Web程序、手机App、鼠标键盘操作、Excel操作、数据库及SQL等 ,影刀RPA提供了丰富的学习资源,包括在线课程、社区支持和帮助中心
TextIn.com开发者平台API使用心得
qq_62626359的博客
04-10 1292
TextIn.com开发者平台API使用心得
pycharm无法加载conda虚拟环境
01-24
### 解决PyCharm无法加载Conda虚拟环境的方法 #### 配置设置 为了使 PyCharm 能够成功识别并使用 Conda 创建的虚拟环境,需确保 Anaconda 的路径已正确添加至系统的环境变量中[^1]。这一步骤至关重要,因为只有当 Python 解释器及其关联工具被加入 PATH 后,IDE 才能顺利找到它们。 对于 Windows 用户而言,在安装 Anaconda 时,默认情况下会询问是否将它添加到系统路径里;如果当时选择了否,则现在应该手动完成此操作。具体做法是在“高级系统设置”的“环境变量”选项内编辑 `Path` 变量,追加 Anaconda 安装目录下的 Scripts 文件夹位置。 另外,建议每次新建项目前都通过命令行先激活目标 conda env: ```bash conda activate myenvname ``` 接着再启动 IDE 进入工作区,这样有助于减少兼容性方面的问题发生概率。 #### 常见错误及修复方法 ##### 错误一:未发现任何解释器 症状表现为打开 PyCharm 新建工程向导页面找不到由 Conda 构建出来的 interpreter 列表项。此时应前往 Preferences/Settings -> Project:...->Python Interpreter 下方点击齿轮图标选择 Add...按钮来指定自定义的位置。按照提示浏览定位到对应版本 python.exe 的绝对地址即可解决问题。 ##### 错误二:权限不足导致 DLL 加载失败 有时即使指定了正确的解释器路径,仍可能遇到由于缺乏适当的操作系统级许可而引发的功能缺失现象。特别是涉及到调用某些特定类型的动态链接库 (Dynamic Link Library, .dll) 时尤为明显。因此拥有管理员身份执行相关动作显得尤为重要——无论是从终端还是图形界面触发创建新 venv 流程均如此处理能够有效规避此类隐患。 ##### 错误三:网络连接异常引起依赖下载超时 部分开发者反馈过因网速慢或者其他因素造成 pip install 操作中途断开进而影响整个项目的初始化进度条卡住的情况。对此可尝试调整镜像源加速获取速度或是离线模式预先准备好所需资源包后再继续后续步骤。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值