| |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
-> 系统运维 -> 使用nginx处理的一些安全漏洞 -> 正文阅读 |
|
[系统运维]使用nginx处理的一些安全漏洞 |
1、响应头缺失HTTP X-Permitted-Cross-Domain-Policies 响应头缺失 Nginx的nginx.conf中location下配置:
HTTP Referrer-Policy 响应头缺失 Nginx的nginx.conf中location下配置:
HTTP X-Content-Type-Options 响应头缺失 Nginx的nginx.conf中location下配置:
HTTP X-Download-Options 响应头缺失 Nginx的nginx.conf中location下配置:
HTTP Content-Security-Policy 响应头缺失 Nginx的nginx.conf中location下配置:
点击劫持:缺少 X-Frame-Options 头 Nginx的nginx.conf中location下配置:
HTTP X-XSS-Protection 响应头缺失 Nginx的nginx.conf中location下配置:
2、set-cookies 属性缺失set-Cookie 没有设置 secure 、HttpOnly属性 nginx.conf location 根据项目路径配置(实际就是把/替换为/; Secure; HttpOnly)
负载也会产生一条set-cookies信息,upstream route后加上Secure HttpOnly
3、CSRF跨站域请求伪造攻击控制referer来源,例如非192.168.41网段地址返回403错误 nginx.conf server 下配置
4、不安全的http请求方式漏洞例如只允许get post请求,其他返回403 nginx.conf location 添加
?5、版本号信息隐藏nginx版本号信息隐藏 nginx.conf http 添加
应用服务版本号信息隐藏 ? nginx.conf location 设置
?6、请求头控制web访问例如只允许手机访问,则请求头Windows、Macintosh,直接返回404 nginx location 配置
|
|
|
上一篇文章 下一篇文章 查看所有文章 |
|
开发:
C++知识库
Java知识库
JavaScript
Python
PHP知识库
人工智能
区块链
大数据
移动开发
嵌入式
开发工具
数据结构与算法
开发测试
游戏开发
网络协议
系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程 数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁 |
360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 | -2024/12/29 9:58:27- |
|
网站联系: qq:121756557 email:121756557@qq.com IT数码 |
数据统计 |