MoeWah

Nginx防御配置 - 避免xss攻击/劫持攻击/js脚本攻击
用X-Frame-Options防止网页被Frame的解决方法修改web服务器配置,添加X-frame-optio...
扫描右侧二维码阅读全文
04
2019/03

Nginx防御配置 - 避免xss攻击/劫持攻击/js脚本攻击

nginx_add_header.jpg

X-Frame-Options防止网页被Frame的解决方法

修改web服务器配置,添加X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframeframe中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。

X-XSS-Protection 的字段有三个可选配置值

0: 表示关闭浏览器的XSS防护机制

1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置

1; mode=block:如果检测到恶意代码,在不渲染恶意代码

如果在你的业务场景中,你认为你的程序或系统是不会有XSS漏洞的, 或者是无法承担XSS filter/auditor 特性引发的BUG,那你就选择配置成前者;否则,你还是选择配置成后者吧。 反正,老司机给你一句忠告就是,千万别配置成XSS-Protection: 1。

整合一下代码,如下:

add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";

把上面这行添加到 http, server或者 location的配置中,然后重启 Nginx 即可。

xss.png

最后修改:2019 年 03 月 04 日 01 : 17 PM
如果觉得我的文章对你有用,请随意赞赏

发表评论