Nginx配置origin限制跨域請(qǐng)求的詳細(xì)過(guò)程

更新時(shí)間：2023年06月27日 09:06:59 作者：我和你并沒(méi)有不同

這篇文章主要介紹了Nginx配置origin限制跨域請(qǐng)求的相關(guān)知識(shí)，本文給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下

按照等保要求，跨域的不安全性，需要修復(fù)。

這個(gè)需要根據(jù)客戶端傳遞的請(qǐng)求頭中的Origin值，進(jìn)行安全的跨站策略配置，目的是對(duì)非法的origin直接返回403錯(cuò)誤頁(yè)面。

漏洞復(fù)現(xiàn)

復(fù)現(xiàn)方式為在 Header 中指定 Origin 請(qǐng)求頭，看是否可以請(qǐng)求成功。

能夠請(qǐng)求成功，說(shuō)明未對(duì)請(qǐng)求頭進(jìn)行控制，有漏洞。

curl-H'Origin:http://test.com'http://192.168.15.32:80

修復(fù)辦法

在http中定義一個(gè)通過(guò)map指令，定義跨域規(guī)則并返回是否合法

http {
    ...
    // 再白名單里邊返回0，不在返回1
    map $http_origin $allow_cors {
        default 1;
        "~^https?://.*?\.tripwolf\.com.*$" 1;
        "~^(https?://(dmp.finerice.cn)?)$" 1;
        "~*" 0;
    }
    server {
        # 指定允許其他域名訪問(wèn)        
        add_header Access-Control-Allow-Origin $http_origin;
        # 允許的請(qǐng)求類型
        add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
        # 許的請(qǐng)求頭字段
        add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
        location / {
            # 進(jìn)行請(qǐng)求攔截
            if ($allow_cors = 0){
                return 403;
            }
            root /mnt/data;
        }
    }
}

驗(yàn)證方法

通過(guò)POSTMAN進(jìn)行請(qǐng)求模擬，配置不同的Origin，查看返回結(jié)果。

如果不需要跨域，則直接清理掉add_headerAccess-Control-Allow-Origin等相關(guān)配置，就不這么復(fù)雜了。

到此這篇關(guān)于Nginx配置origin限制跨域請(qǐng)求的文章就介紹到這了,更多相關(guān)Nginx限制跨域請(qǐng)求內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

相關(guān)文章

Nginx處理跨域問(wèn)題小結(jié)
這篇文章主要介紹了Nginx處理跨域問(wèn)題小結(jié),本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
2024-01-01
Nginx緩存&優(yōu)雅清除緩存問(wèn)題
本文詳細(xì)介紹了Nginx的緩存配置,包括緩存文件的存儲(chǔ)路徑、緩存的有效期、哪些請(qǐng)求走緩存、哪些請(qǐng)求不緩存,以及如何刪除緩存,同時(shí),還提供了一個(gè)綜合案例來(lái)說(shuō)明如何配置和使用Nginx緩存
2025-03-03
Nginx配置防盜鏈的完整步驟
這篇文章主要給大家介紹了關(guān)于Nginx配置防盜鏈的完整步驟，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家學(xué)習(xí)或者使用Nginx具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2019-08-08
Nginx日志按天分割實(shí)戰(zhàn)
本文主要介紹了Nginx日志按天分割實(shí)戰(zhàn),方便快速按照天的維度分析以及查找報(bào)錯(cuò)定位,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2024-05-05
nginx fair負(fù)載均衡方式使用詳解
本文主要介紹了nginx fair負(fù)載均衡方式使用詳解,文中通過(guò)示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2023-08-08
nginx使用rewrite報(bào)錯(cuò)的解決
本文主要介紹了nginx使用rewrite報(bào)錯(cuò)的解決，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2023-03-03
Nginx反爬蟲(chóng)策略，防止UA抓取網(wǎng)站
目前網(wǎng)絡(luò)上的爬蟲(chóng)非常多，有對(duì)網(wǎng)站收錄有益的，比如百度蜘蛛（Baiduspider），也有不但不遵守robots規(guī)則對(duì)服務(wù)器造成壓力，還不能為網(wǎng)站帶來(lái)流量的無(wú)用爬蟲(chóng)，為防止網(wǎng)站有可能會(huì)被別人爬，通過(guò)配置Nginx, 我們可以攔截大部分爬蟲(chóng)
2020-09-09
前端必備的一些nginx知識(shí)點(diǎn)匯總
Nginx是一個(gè)高性能的HTTP和反向代理web服務(wù)器,同時(shí)也提供了IMAP/POP3/SMTP服務(wù),下面這篇文章主要給大家匯總介紹了關(guān)于前端必備的一些nginx知識(shí)點(diǎn),文中通過(guò)實(shí)例代碼介紹的非常詳細(xì),需要的朋友可以參考下
2023-03-03
18個(gè)運(yùn)維必知的Nginx代理緩存配置技巧(你都掌握了哪些呢)
這篇文章主要介紹了18個(gè)運(yùn)維必知的Nginx代理緩存配置技巧(你都掌握了哪些呢)，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2019-09-09
Nginx服務(wù)器相關(guān)的一些安全配置建議
這篇文章主要介紹了Nginx服務(wù)器相關(guān)的一些安全配置建議,共計(jì)總結(jié)了十個(gè)小點(diǎn),需要的朋友可以參考下
2015-06-06