nginx⽹站安全漏洞修复
前⾔:公司项⽬交付之前甲⽅进⾏了安全漏洞的扫描。⼤部分漏洞都是因为响应没有加上仿攻击的响应头。记录⼀下漏洞以及解决⽅法
1.检测到⽬标URL存在相对路径覆盖(RPO)漏洞
该漏洞是因为⼀下原因:
--访问当前URL,检测响应头是否配置了x-content-type-options头;
--如果没有配置,则检查响应内容,若响应内容是没有DOCTYPE声明的HTML,且存在引⽤的css、js资源,则认为存在该漏洞。
解决⽅法:nginx部署前端项目
1  去掉响应内容⾥⾯的相对路径。这个是由于代码之前引⼊的css和js有相对路径引起的,虽然前端已经注释掉了,但是还是检测出来了。
2  在nginx的http,server或者location中。我是添加到响应的server中的。
3  检验是否添加成功,在⽹站中再次访问查看是否含有该响应头,若没有,则清除浏览器缓存再次访问。⼀般配置正确重新加载配置就会看到该响应头。
2.X-Frame-Options未配置
判断标准:检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞。
3.检测到⽬标X-XSS-Protection响应头缺失
判断标准: 检查响应头中是否有返回X-Frame-Options头,如果没有则报出漏洞。
4.检测到⽬标X-Content-Type-Options响应头缺失
判断标准: 在原始请求响应中,若发现响应头中没有X-Content-Type-Options响应头,则认为存在漏洞。
5.检测到⽬标Content-Security-Policy响应头缺失
判断标准:在原始请求响应中,若发现响应头中没有Content-Security-Policy响应头,则认为存在漏洞。
响应的头的修复⽅式均通过设置nginx配置⽂件。
配置如下:
1add_header X-Frame-Options "SAMEORIGIN";
2add_header X-Content-Type-Options nosniff;
3#防⽌跨站脚本 Cross-site scripting (XSS)
4add_header X-XSS-Protection "1; mode=block";
5#并不限制内容加载来源
6add_header Content-Security-Policy "script-src * 'unsafe-inline' 'unsafe-eval'";
7#将本站内部http链接⾃动改为https,并不限制内容加载来源
8#add_header Content-Security-Policy "upgrade-insecure-requests;content *;img-src '*'";
⽹站响应结果如图:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。