国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

Nginx修復(fù)CORS漏洞方案(親測可行)

2年前作者:fengxioabai分類:Toy博客閱讀(24)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Nginx修復(fù)CORS漏洞方案(親測可行)。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

漏洞介紹
概述:CORS,跨域資源共享(Cross-origin resource sharing),是H5提供的一種機(jī)制,WEB應(yīng)用程序可以通過在HTTP增加字段來告訴瀏覽器,哪些不同來源的服務(wù)器是有權(quán)訪問本站資源的,當(dāng)不同域的請(qǐng)求發(fā)生時(shí),就出現(xiàn)了跨域的現(xiàn)象。當(dāng)該配置不當(dāng)?shù)臅r(shí)候,就導(dǎo)致資源被惡意操作
潛在危害:中

CORS漏洞修復(fù)的時(shí)候,網(wǎng)上有發(fā)現(xiàn)太多的漏洞修復(fù)方案,走了很多彎路,試了好多種方案都沒辦法修復(fù),要么沒生效or容易繞過,下面這個(gè)修復(fù)方式親測可以修復(fù)(修改下面域名即可),供參考:

nginx CORS配置

location / {

??? set $flag 0;

??? if ($http_origin = '')

??? {

??????? set $flag "${flag}1";

??? }

??? if ($http_origin !~* ^(http|https)://www\.abc\.com$){

??????? set $flag "${flag}1";

??? }

??? if ($flag = "01"){

??????? return 403;

??? }

??? if ($http_origin ~* ^(http|https)://www\.abc\.com$) {

??????? add_header Access-Control-Allow-Origin $http_origin;

??????? add_header Access-Control-Allow-Methods GET,POST;

??????? add_header Access-Control-Allow-Credentials true;

??????? add_header Access-Control-Allow-Headers DNT,Keep-Alive,User-Agent,If-Modified-Since,Cache-Control,Content-Type;

?? }

} 文章來源地址http://www.zghlxwxcb.cn/news/detail-499919.html

到了這里,關(guān)于Nginx修復(fù)CORS漏洞方案(親測可行)的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 寶塔設(shè)置IPV6簡單介紹,windows,親測可行l(wèi)inux尚未試過,應(yīng)該也可以

    寶塔設(shè)置IPV6簡單介紹,windows,親測可行l(wèi)inux尚未試過,應(yīng)該也可以

    1、先保證服務(wù)器已經(jīng)支持ipv6,最簡單的驗(yàn)證方式就是ping 一下域名后面加一個(gè) -6例如: 這樣ping如果能返回就說明服務(wù)器已經(jīng)具備IPV6.或者輸入ipconfig看看是否有IPV6的地址。 2、域名解析的時(shí)候,需要解析到IPV6地址上例如下面地址:2001:250:3800:10::24,解析如圖: 3、解析成功后

    2024年02月19日
    瀏覽(26)
  • 【教程】一些服務(wù)器常見漏洞的修復(fù)方法,親測超詳細(xì)

    【教程】一些服務(wù)器常見漏洞的修復(fù)方法,親測超詳細(xì)

    目錄 漏洞名稱解釋 Apache漏洞——卸載Apache2(可能不適用于大家) CVE-2020-15778——禁用SCP CVE-2020-15778、CVE-2016-2183、CVE-2021-41617、CVE-2014-0160、CVE-2020-12062、CVE-2021-28041、CVE-2016-6515——升級(jí)openssl和openssh 安裝編譯環(huán)境所需的工具 然后編譯升級(jí)openssl 之后編譯升級(jí)openssh CVE-2018-1905

    2024年02月08日
    瀏覽(48)
  • Nginx漏洞修復(fù)之目錄穿越(目錄遍歷)漏洞復(fù)現(xiàn)及修復(fù)

    Nginx漏洞修復(fù)之目錄穿越(目錄遍歷)漏洞復(fù)現(xiàn)及修復(fù)

    前言 Nginx是一個(gè)高性能的HTTP和反向代理服務(wù)器,經(jīng)常被做為反向代理,動(dòng)態(tài)的部分被proxy_pass傳遞給后端端口,而靜態(tài)文件需要Nginx來處理。 漏洞出現(xiàn)在服務(wù)器的靜態(tài)文件中。如果靜態(tài)文件存儲(chǔ)在/home/目錄下,而該目錄在url中名字為files,那么就需要用alias設(shè)置目錄的別名 。

    2024年02月04日
    瀏覽(25)

  • nginx 漏洞修復(fù)

    1、檢測到 RC4 密碼套件、檢測到 SHA-1 密碼套件 在nginx的nginx.conf 文件中加入: ssl_ciphers ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:!NULL:!aNULL:!MD5:!ADH:!RC4:!

    2024年02月15日
    瀏覽(20)
  • nginx(CVE-2022-41741)漏洞修復(fù)

    nginx(CVE-2022-41741)漏洞修復(fù)

    大家好,我是早九晚十二,目前是做運(yùn)維相關(guān)的工作。寫博客是為了積累,希望大家一起進(jìn)步! 我的主頁:早九晚十二 最近,nginx曝出了最新漏洞 CVE-2022-41741 ,這個(gè)影響還是比較大的,因?yàn)檫@個(gè)包含了一些相對(duì)穩(wěn)定的版本,所以好多環(huán)境都需要有升級(jí)。 那么,如何快速的升

    2024年02月08日
    瀏覽(33)
  • nginx(CVE-2022-41741和41742) 漏洞修復(fù)

    nginx(CVE-2022-41741和41742) 漏洞修復(fù)

    近期Nginx安全發(fā)布幾個(gè)中高危漏洞:CVE-2022-41741 (Memory Corruption) – CVSS score 7.1 (High)、CVE-2022-41742 (Memory Disclosure) – CVSS score 7.0 (High),上述是:MP4 流媒體模塊(ngx_http_mp4_module)中的漏洞影響到 NGINX Plus、NGINX 開源版以及 NGINX 企閱版。 1)漏洞: CVE-2022-41741 NGINX 在 ngx_http_mp4_modul

    2024年02月07日
    瀏覽(31)
  • nginx設(shè)置add_header失效 配置cors跨域失效無效的解決方案

    nginx設(shè)置add_header失效 配置cors跨域失效無效的解決方案

    希望對(duì)大家有幫助,有用的話記得點(diǎn)個(gè)贊評(píng)個(gè)論,讓俺知道這個(gè)法子可以幫助到大家喲?。m然我這個(gè)法子很野) 最近在完成一個(gè)項(xiàng)目,后端API地址和前端地址不一致,這就涉及到了跨域的問題。 由于服務(wù)端加了一層Nginx作為反代,所以很自然的想到要去 .conf 配置文件中 加

    2024年02月12日
    瀏覽(26)
  • 文件上傳漏洞之漏洞的危害和修復(fù)方案

    文件上傳漏洞之漏洞的危害和修復(fù)方案

    文件上傳漏洞是指由于程序員未對(duì)上傳的文件進(jìn)行嚴(yán)格的驗(yàn)證與過濾,而導(dǎo)致的用戶可以越過其本身權(quán)限向服務(wù)器上傳可執(zhí)行的動(dòng)態(tài)腳本文件。 非法用戶可以上傳惡意文件(webshell)控制網(wǎng)站、服務(wù)器,上傳webshell后門方便查看服務(wù)器信息、查看目錄、執(zhí)行系統(tǒng)命令。 客戶端?

    2024年02月13日
    瀏覽(23)

  • 常見漏洞修復(fù)方案

    【漏洞描述】 由于服務(wù)器中間件配置不當(dāng),客戶端可以直接訪問站點(diǎn)文件目錄。如目錄中恰好存在敏感文件(如配置文件、備份文件、數(shù)據(jù)庫文件等),可被直接下載,導(dǎo)致嚴(yán)重的敏感信息泄露。 【漏洞危害】 黑客可獲得服務(wù)器上的文件目錄結(jié)構(gòu),從而下載敏感文件,為后

    2024年02月09日
    瀏覽(16)
  • nginx漏洞修復(fù)之檢測到目標(biāo)URL存在http host頭攻擊漏洞

    nginx漏洞修復(fù)之檢測到目標(biāo)URL存在http host頭攻擊漏洞

    為了方便的獲得網(wǎng)站域名,開發(fā)人員一般依賴于HTTP Host header。例如,在php里用_SERVER[“HTTP_HOST”]。但是這個(gè)header是不可信賴的,如果應(yīng)用程序沒有對(duì)host header值進(jìn)行處理,就有可能造成惡意代碼的傳入。 綠盟建議: web應(yīng)用程序應(yīng)該使用SERVER_NAME而不是host header。 在Apache和Ng

    2024年02月16日
    瀏覽(38)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包