因为原有一个业务服务使用Nginx做了一个代理,漏洞扫描后报了不少头信息问题,进行了修复并将方法进行记录如下,以下配置均在nginx.conf文件中添加。

Nginx头信息漏洞扫描各种出的常用漏洞处理修复方法
Nginx头信息漏洞扫描各种出的常用漏洞处理修复方法

漏洞内容:点击劫持:缺少X-Frame-Options
关于http头部 X-Frame-Options 缺失漏洞解决,X-Frame-Options有三个可选项:
DENY #拒绝任何域加载
SAMEORIGIN #允许同源域下加载(常用)
ALLOW-FROM #可以定义允许frame加载的页面地址
解决方法:add_header X-Frame-Options SAMEORIGIN;

漏洞内容:HTTP Strict-Transport-Security 响应头缺失
HTTP Strict-Transport-Security 可以限定浏览器只能通过HTTPS访问当前资源,禁止HTTP方式。
解决方法:add_header Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;

漏洞内容:HTTP Referrer-Policy 响应头缺失
referer是用来防止CORS(跨站请求伪造)的一种最常见及有效的方式。而Referrer-Policy则是客户端对这个带信息策略的配置。推荐使用strict-origin-when-cross-origin作为默认策略。
Referrer-Policy可以设置的值有如下列表:
no-referrer 整个Referer首部会被移除。访问来源信息不随着请求一起发送
no-referrer-when-downgrade 没有指定策略时的默认行为。在同等安全级别的情况下,引用页面的地址会被发送(HTTPS->HTTPS),但是在降级的情况下不会被发送 (HTTPS->HTTP)。
origin 在任何情况下,仅发送文件的源作为引用地址。
origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址,但是对于非同源请求仅发送文件的源。
same-origin 对于同源的请求会发送引用地址,但是对于非同源请求则不发送引用地址信息
strict-origin 在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS),但是在降级的情况下不会发送 (HTTPS->HTTP)。
strict-origin-when-cross-origin 对于同源的请求,会发送完整的URL作为引用地址;在同等安全级别的情况下,发送文件的源作为引用地址(HTTPS->HTTPS);在降级的情况下不发送此首部 (HTTPS->HTTP)。
unsafe-url 无论是同源请求还是非同源请求,都发送完整的 URL(移除参数信息之后)作为引用地址。(最不安全)
解决方法:add_header Referrer-Policy strict-origin-when-cross-origin;

漏洞内容:HTTP X-Permitted-Cross-Domain-Policies 响应头缺失
X-Permitted-Cross-Domain-Policies
用于指定当不能将crossdomain.xml文件(当需要从别的域名中的某个文件中读取 Flash 内容时用于进行必要设置的策略文件)放置在网站根目录等场合时采取的替代策略。
常用的配置值:master-only 只允许使用主策略文件(/crossdomain.xml)
解决方法:add_header X-Permitted-Cross-Domain-Policies master-only;

漏洞内容:HTTP X-Download-Options 响应头缺失
Web 服务器对于 HTTP 请求的响应头中缺少 X-Download-Options会导致浏览器提供的安全特性失效,容易遭受 Web 前端黑客攻击的影响。可以使用X-Download-Options标头下载所请求的数据。 X-Download Options标头可在Internet Explorer 8及更高版本的浏览器中使用。这个标头就像一个深度防御机制,特别适合于允许用户上传内容的应用程序,避免用户直接打开其上传的包含恶意代码的文件,通过向X-Download-Options HTTP头添加noopen指令来删除用户必须打开文件的选项。
解决方法:add_header X-Download-Options noopen

漏洞内容:HTTP X-Content-Type-Options 响应头缺失
互联网上的资源有各种类型,通常浏览器会根据响应头的Content-Type字段来分辨它们的类型。例如:”text/html”代表html文档,”image/png”是PNG图片,”text/css”是CSS样式文档。然而,有些资源的Content-Type是错的或者未定义。这时,某些浏览器会启用MIME-sniffing来猜测该资源的类型,解析内容并执行。这个响应头的值只能是nosniff,可用于IE8+和Chrome。
解决方法:add_header X-Content-Type-Options nosniff

声明:
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。
本站信息来自网络收集整理,版权争议与本站无关。
您必须在下载后的24个小时之内,从您的电脑或手机等设备中彻底删除上述内容。如果您喜欢该程序和内容,请支持正版,购买注册,得到更好的正版服务。
我们非常重视版权问题,如有侵权请邮件与我们联系处理。敬请谅解!