按照等保要求,跨域的不安全性,需要修復(fù)。
這個需要根據(jù)客戶端傳遞的請求頭中的Origin值,進行安全的跨站策略配置,目的是對非法的origin直接返回403錯誤頁面。
漏洞復(fù)現(xiàn)
復(fù)現(xiàn)方式為在 Header 中指定 Origin 請求頭,看是否可以請求成功。
能夠請求成功,說明未對請求頭進行控制,有漏洞。
curl-H'Origin//test.com'http://192.168.15.32:80
修復(fù)辦法
在http中定義一個通過map指令,定義跨域規(guī)則并返回是否合法
http { ... //再白名單里邊返回0,不在返回1 map $http_origin $allow_cors { default 1; "~^https?://.*?.tripwolf.com.*$" 1; "~^(https?://(dmp.finerice.cn)?)$" 1; "~*" 0; } server { # 指定允許其他域名訪問 add_header Access-Control-Allow-Origin $http_origin; # 允許的請求類型 add_header Access-Control-Allow-Methods GET,POST,OPTIONS; # 許的請求頭字段 add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept"; location / { # 進行請求攔截 if ($allow_cors = 0){ return 403; } root /mnt/data; } } }
驗證方法
通過POSTMAN進行請求模擬,配置不同的Origin,查看返回結(jié)果。
如果不需要跨域,則直接清理掉add_header Access-Control-Allow-Origin等相關(guān)配置,就不這么復(fù)雜了。
-
模擬
+關(guān)注
關(guān)注
7文章
1422瀏覽量
83925 -
客戶端
+關(guān)注
關(guān)注
1文章
290瀏覽量
16687 -
nginx
+關(guān)注
關(guān)注
0文章
149瀏覽量
12174
原文標(biāo)題:Nginx配置origin限制跨域請求
文章出處:【微信號:magedu-Linux,微信公眾號:馬哥Linux運維】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論