nginx header配置

一、网安检测,需要我们整改

1)iframe 点击劫持,只允许同源的域名使用iframe。

2) 高版本的浏览器通过csp的方式来加非同源的白名单。

测试:

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8" >
    <title>点击劫持测试</title>
</head>
<body>
    <iframe src="https://www.aaa.com/"  width="500"  height="500"  frameborder="10"> </iframe>
</body>
</html>

 

3)通过设置"X-Content-Type-Options: nosniff"响应标头,对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。设置X-Content-Type-Options,可能导致IE9、IE11拒绝加载没有返回Content-Type的相关资源。

4)启用XSS过滤。 如果检测到攻击,浏览器将不会清除页面,而是阻止页面加载。

add_header X-Frame-Options SAMEORIGIN;
add_header Content-Security-Policy "frame-ancestors http://*.aaa.com https://*.vvv.com;
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";

 

posted @ 2022-05-17 23:25  JvvYou  阅读(1042)  评论(0编辑  收藏  举报