nginx 的安全策略问题

原创 已于 2023-05-11 09:58:04 修改 · 3.5k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #html

于 2023-05-09 10:38:01 首次发布
文章讲述了在前端使用iframe时遇到的安全策略错误,特别是关于frame-ancestors的设置。解决方案是在nginx配置中添加特定的安全策略头,允许同源嵌入。通过修改Content-Security-Policy,设置为允许自身和特定域名的嵌入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1:前端嵌入iframe 时,有时汇报安全策略如下:

in a frame because an ancestor violates the following Content Security Policy directive: "frame-ancestors ‘self’。

这里主要是 frame-ancestors的参数需要调整。

# 不允许被嵌入,包括<frame>, <iframe>, <object>, <embed> 和 <applet>
Content-Security-Policy: frame-ancestors 'none'
# 只允许被同源的页面嵌入
Content-Security-Policy: frame-ancestors 'self'
# 只允许被白名单内的页面嵌入
Content-Security-Policy: frame-ancestors www.example.com

2:解决

在nginx的 nginx.conf 的http 下面 加入安安全策略

add_header Content-Security-Policy "default-src * data: 'unsafe-inline'  blob: 'unsafe-eval';frame-src 'self'; frame-ancestors 'self'  http://*";

 3:重启nginx

nginx 安全策略配置项
Bertram的博客
03-31 1645
nginx启用HSTS以支持从http到https不通过服务端而自动跳转 在https的server站点添加如下头部 add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 这样当第一次以https方式访问我的网站,nginx则会告知客户端的浏览器,以后即便地址栏输入http,也要浏览器改成https来访问我的nginx服务器。是不是很爽,服务器再也不管http转发到https这档子事了,由浏
nginx安全
技术引领业务创新
03-27 1093
NGINX安全相关设置
Nginx配置Http响应头安全策略_nginx content-security-policy
m0_60707660的博客
04-06 1368
外链图片转存中…(img-k8i9jTyB-1712340605442)]
Nginx配置Http响应头安全策略_nginx content-security-policy(1)
m0_58269520的博客
04-08 2559
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
SiteAzure:点击劫持:CSP frame-ancestors 未设置
最新发布
bbsh2099的博客
06-11 580
点击劫持(UI覆盖攻击)是一种恶意技术,它诱使 Web用户点击与用户认为他们正在点击的内容不同的内容,从而可能泄露机密信息或控制他们的计算机,同时点击看似无害的网页。服务器没有在 Content-Security-Policy 标头中返回 frame-ancestors 指令,这意味着该网站可能面临点击劫持攻击的风险。frame-ancestors指令可用于指示是否应允许浏览器在框架内呈现页面。网站可以使用它来避免点击劫持攻击,确保他们的内容没有嵌入到其他网站中。
Nginx配置Http响应头安全策略
RisunJan的博客
10-22 1万+
1. 防止跨站脚本攻击(XSS):通过设置`CSP(Content-Security-Policy)`,可以限制浏览器只加载和执行来自特定来源的脚本,从而防止恶意脚本注入和执行。 2. 防止点击劫持攻击:通过设置`X-Frame-Options`响应头,可以防止网页被嵌入到其他网站的`iframe`中,避免用户在不知情的情况下触发恶意代码。 3. 提高网站安全性:通过设置`STS(Strict-Transport-Security)`响应头,强制浏览器使用`HTTPS协议`与服务器通信,从而防止信息在传输过
Nginx 解决内容安全策略CSP(Content-Security-Policy)配置方式
ideal-lingyun
09-24 5090
Nginx 解决内容安全策略CSP(Content-Security-Policy)配置方式
Nginx的跨域Content Security Policy通行设置
静宁宇思
04-02 6578
Nginx的跨域Content Security Policy通行设置 发表于2019年06月08日 日志 更新于 2019年06月09日 13:09:56 下午 场景描述 A站点HTTPS,A站点做为中心站,引用B/C/D/E/F……站点的资源进行供给,确定的只有A站点是HTTPS,其它站点可能是HTTP也可能是HTTPS,文件类型不限定,包括但不限于:CSS,JS,IMAGE,MP4,MP3,RAR,ZIP,M3U8,FLV……。 如果你使用的是默认配置,那么它会提示以下错误: ...
Nginx 安全配置与防护策略
01-24 2007
Nginx 安全配置与防护策略
NginxNginx安全防护策略.docx
08-28
NginxNginx安全防护策略.docx
linux运维web篇 nginx优化和配置安全策略
weixin_49172531的博客
04-06 977
文章目录前言一、优化配置隐藏版本号修改用户名于组名缓存时间日志分割二、使用步骤1.引入库2.读入数据总结 前言 nginx和apache一样,默认的配置是无法满足日常的高负载使用的 在安全方面也无法保证 所以需要在基础上进行安全和优化配置 一、优化配置 隐藏版本号 隐藏版本号可以避免黑客对web版本来进行针对性的攻击。 查看版本号 可以进去浏览器查看 隐藏版本号有两个方法 一是修改配置文件 2是重新编译安装 如果有需求在安装时可以修改 这里我选择修改配置文件 修改这里 添加尾行内容(光标处) 重
Nginx配置Http响应头安全策略_nginx content-security-policy(2)
m0_58269520的博客
04-08 2787
http {http {注意:在生产环境中,建议启用 upgrade-insecure-requests 指令,以防止潜在的安全风险。
2024年最新Nginx配置Http响应头安全策略_nginx content-security-policy(1),2024年最新网络安全开发框架
2401_84267735的博客
05-11 1104
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。最后就是大家最关心的网络安全面试题板块。
Nginx配置----安全篇
Samuel_gan的博客
10-28 1858
Nginx 配置之安全篇 文章目录 隐藏不必要的信息禁用非必要的方法合理配置响应头HTTPS 安全配置 之前有细心的朋友问我,为什么你的博客副标题是「专注 WEB 端开发」,是不是少了「前端」的「前」。我想说的是,尽管我从毕业到现在七年左右的时间一直都在专业前端团队从事前端相关工作,但这并不意味着我的知识体系就必须局限于前端这个范畴内。现在比较流行「全栈工程师」的
nginx解决内容安全策略CSP(Content-Security-Policy)配置方式
热门推荐
yb创作中心
09-09 4万+
nginx解决内容安全策略CSP(Content-Security-Policy)配置方式(项目实战亲测使用) 下面这段配置拷贝到配置文件即可,注意顺序不能乱 add_header Content-Security-Policy "default-src 'self' static4.segway.com(该地址按需修改) 'unsafe-inline' 'unsafe-eval' blob: data: ;"; add_header X-Xss-Protection "1;mode=
nginx配置相关策略Content-Security-Policy、Referrer-policy
m0_46803792的博客
02-14 1万+
nginx配置相关策略Content-Security-Policy、Referrer-policy
Nginx中如何启用CSP(内容安全策略)?
长风破浪会有时的博客
04-02 2209
CSP就像是我们给网站加上的一个“保安”,它可以告诉浏览器:“只允许加载我指定的内容,其他的内容都不要加载哦!”这样,如果有人尝试在网站上加载恶意的内容,比如病毒或者广告,浏览器就会拒绝加载,从而保护我们的网站和用户的安全。通过这个配置,我们可以确保网站只加载我们指定的安全内容,从而提高网站的安全性。如果有人尝试加载不符合策略的内容,浏览器就会拒绝加载,并显示一个错误信息。头部的值中,我们设置了不同的策略来限制网站可以加载的内容。等元素的内容,因为这些元素可能会被用来加载恶意的内容。这个配置做了什么呢?
Nginx配置“Content-Security-Policy”头 、“X-XSS-Protection”头 和“X-Content-Type-Options”头
weixin_42564514的博客
07-24 1万+
如上图配置 add_header X-Content-Type-Options: nosniff; add_header X-XSS-Protection "1; mode=block"; add_header Content-Security-Policy "default-src 'self'"; 如上图即成功
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千银

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值