国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁(yè)
  2. >Toy博客

Nginx使用“邏輯與”配置origin限制,修復(fù)CORS跨域漏洞

2年前作者:ACGkaka_分類:Toy博客閱讀(19)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Nginx使用“邏輯與”配置origin限制,修復(fù)CORS跨域漏洞。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

1.漏洞報(bào)告

  • 漏洞名稱: CORS 跨域
  • 漏洞等級(jí): 中危
  • 漏洞證明: Origin從任何域名都可成功訪問(wèn),未做任何限制。
  • 漏洞危害: 因?yàn)橥床呗缘拇嬖?,不同源的客戶端腳本不能訪問(wèn)目標(biāo)站點(diǎn)的資源,如果目標(biāo)站點(diǎn)并配置不當(dāng),沒(méi)有對(duì)請(qǐng)求源的域做嚴(yán)格限制,導(dǎo)致任意源都可以訪問(wèn)時(shí),就能在 CORS 跨域漏洞問(wèn)題,CORS 漏洞一般用于竊取用戶敏感數(shù)據(jù),如果用戶點(diǎn)擊觸發(fā)了而已頁(yè)面,就會(huì)被盜取數(shù)據(jù)。
  • 解決建議: 修復(fù)方法是合理配置 CORS,判斷 Origin 是否合法。具體說(shuō)就是請(qǐng)求頭不要配置 Access-Control-Allow-Origin*null。

2.漏洞復(fù)現(xiàn)

復(fù)現(xiàn)方式為在 Header 中指定 Origin 請(qǐng)求頭,看是否可以請(qǐng)求成功。

curl -H 'Origin:http://aaa.bbb' http://10.14.32.138:80

發(fā)現(xiàn)確實(shí)可以正常請(qǐng)求成功,開(kāi)始修復(fù)。

3.Nginx 修復(fù)

3.1 添加請(qǐng)求頭

location /myProject/api/ {
    add_header 'Access-Control-Allow-Origin' 'http://10.14.32.138:80' always;
    add_header 'Access-Control-Allow-Credentials' 'false'  always;

    include      proxy_params;
    proxy_pass   http://localhost:8081/;
    access_log   /tmp/httplogs/uat-mobileapi-access.log main;
    error_log    /tmp/httplogs/uat-mobileapi-error.log;
}

添加完畢,提交復(fù)測(cè),發(fā)現(xiàn)即使添加了請(qǐng)求頭配置,當(dāng)origin為其他域名時(shí)仍能正常訪問(wèn)。

3.2 配置origin限制

進(jìn)一步通過(guò)添加 origin 限制來(lái)修復(fù),其他域名訪問(wèn)時(shí),直接返回 403 狀態(tài)碼。

location /myProject/api/ {
    if ($http_origin !~* "(www.test.com|10.14.32.138)" ) {
        return 403;
    }

    add_header 'Access-Control-Allow-Origin' 'http://10.14.32.138:80' always;
    add_header 'Access-Control-Allow-Credentials' 'false'  always;

    include      proxy_params;
    proxy_pass   http://localhost:8081/;
    access_log   /tmp/httplogs/uat-mobileapi-access.log main;
    error_log    /tmp/httplogs/uat-mobileapi-error.log;
}

配置之后,發(fā)現(xiàn)雖然跨域請(qǐng)求被限制住了,但是頁(yè)面上的請(qǐng)求也無(wú)法訪問(wèn)了。

排查發(fā)現(xiàn),頁(yè)面上請(qǐng)求時(shí)不會(huì)傳 Origin 請(qǐng)求頭,所以也返回 403 狀態(tài)碼了。

2.3 調(diào)整origin限制

需要將 Origin 限制改為 Origin 為空也可以正常訪問(wèn)。

location /myProject/api/ {
    set $allow_cors 0;
    # 判斷不為空
    if ($http_origin) {
        set $allow_cors 1;
    }
    # 判斷不在白名單內(nèi)
    if ($http_origin !~* "(www.test.com|10.14.32.138)" ) {
        set $allow_cors "${allow_cors}1";
    }
    # 判斷不為空 且 不在白名單內(nèi),返回403
    if ($allow_cors = "11") {
        return 403;
    }

    add_header 'Access-Control-Allow-Origin' 'http://10.14.32.138:80' always;
    add_header 'Access-Control-Allow-Credentials' 'false'  always;

    include      proxy_params;
    proxy_pass   http://localhost:8081/;
    access_log   /tmp/httplogs/uat-mobileapi-access.log main;
    error_log    /tmp/httplogs/uat-mobileapi-error.log;
}

配置之后,復(fù)測(cè)通過(guò),頁(yè)面也可以正常訪問(wèn)了。

整理完畢,完結(jié)撒花~





參考地址:

1.Nginx配置origin限制跨域請(qǐng)求(應(yīng)對(duì)等保),https://blog.csdn.net/qq_20236937/article/details/128640137

2.Nginx:如果頭不存在或錯(cuò)誤,則拒絕請(qǐng)求,https://www.it1352.com/1679888.html

3.NGINX實(shí)現(xiàn)IF語(yǔ)句里的AND,OR多重判斷,https://blog.51cto.com/qiangsh/1967549文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-406068.html

到了這里,關(guān)于Nginx使用“邏輯與”配置origin限制,修復(fù)CORS跨域漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來(lái)自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

覺(jué)得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包