nginx header配置

一、网安检测，需要我们整改

1）iframe 点击劫持，只允许同源的域名使用iframe。

2) 高版本的浏览器通过csp的方式来加非同源的白名单。

测试：

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8" >
    <title>点击劫持测试</title>
</head>
<body>
    <iframe src="https://www.aaa.com/"  width="500"  height="500"  frameborder="10"> </iframe>
</body>
</html>

3）通过设置"X-Content-Type-Options: nosniff"响应标头，对 script 和 styleSheet 在执行是通过MIME 类型来过滤掉不安全的文件。设置X-Content-Type-Options，可能导致IE9、IE11拒绝加载没有返回Content-Type的相关资源。

4）启用XSS过滤。如果检测到攻击，浏览器将不会清除页面，而是阻止页面加载。

add_header X-Frame-Options SAMEORIGIN;
add_header Content-Security-Policy "frame-ancestors http://*.aaa.com https://*.vvv.com;
add_header X-Content-Type-Options "nosniff";
add_header X-XSS-Protection "1; mode=block";

posted @ 2022-05-17 23:25 腐汝阅读(1034) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

腐汝

nginx header配置

一、网安检测，需要我们整改

公告