Nginx配置origin限制CORS跨域漏洞(应对等保渗透)

线上系统在等保测评的时候被扫出来了CORS跨域问题,但是根据网上大多数人用的方法之后,发现,还是能被扫出来问题,被这个问题困扰了很久,才找到了问题的解决方案,亲测有效!!!

1、问题扫描报告

2、百度推荐使用最多的方案(复测还有)

解决思路其实很简单:通过Nginx配置请求头,拦截掉非法的Origin请求方式。

网上最多的建议:

在Nginx中配置,单纯的加 "add_header Access-Control-Allow-Origin" 是没有丝毫作用的,加上之后还是能被扫到这个漏洞,如下代码段:

javascript 复制代码
location / {
  add_header Access-Control-Allow-Origin *.xxx.com;
  add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";
  add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}

3、有效解决方案总结

(1)http下配置 map指令 (这个可以)

1)在http中定义一个通过map指令,定义跨域规则并返回是否合法

javascript 复制代码
http {
    ...
    # 说明:一般使用http_origin来进行跨域控制,当不传递origin头的时候,就为这个里面的默认值,当传递有值得时候,才会走下面得正则匹配
    map $http_origin $allow_cors {
        default 1;
        #以下为提供参考的正则表达式
        "~^https?://.*?\.theorydance\.com.*$" 1;
        "~^(https?://(dmp.xxxxxx.cn)?)$" 1;
        "~http://www.diuut.com" 1;
        "~*" 0;
    }
    server {
        location / {
            if ($allow_cors = 0){
                return 403;
            }
            root /data/deploy;
        }
    }
}

上述规则中,

a.当不传递origin头的时候,就为这个里面的默认值为1,

b.如果orgin的值为https://dmp.xxxxxx.cn或者含"theorydance"的,我们认为是合法的请求,返回数值1,如果是其它值,返回数值0

2)在server中根据$allow_cros的值进行请求拦截

javascript 复制代码
if ($allow_cros = 0){
     return 403;
}

3)在server中添加头部

javascript 复制代码
#指定允许其他域名访问        
add_header Access-Control-Allow-Origin $http_origin;
#允许的请求类型
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
#许的请求头字段
add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";

验证:

1、不指定 origin时,请求正常

2、指定合法 origin时,请求正常

3、指定非法origin时,请求返回403

(2) server下配置 (这个感觉没有什么作用)

javascript 复制代码
server {
set $cors_origin "";  
if ($http_origin ~* "^http://19.142.15.54$") {  
   set $cors_origin $http_origin?;  
}  

add_header Access-Control-Allow-Origin $cors_origin;

listen       9101;
server_name  localhost;

     location / {
         root   /usr/share/nginx/html/gzt/;
         index  index.html index.htm;
         add_header Access-Control-Allow-Origin $cors_origin;
     }
}

(3) 方法三:server下配置 (这个可以)

Nginx if语法不支持if条件的逻辑与&&逻辑或|| 运算 ,而且不支持if的嵌套语法。需要借助变量来实现嵌套语法或多条件判断:

javascript 复制代码
server {
    listen       9101;
    server_name  localhost;

    #如果存在Origin头且Origin头不匹配指定的IP地址模式,那么返回403错误。
    set $flag 0;
    #Origin有值的情况下。flag为01
    if ($http_origin) {
        set $flag "${flag}1";
    }
    #Origin有值且不符合以下判断,flag为012
    if ($http_origin !~ "19.166.2.54.*") {
        set $flag "${flag}2";
    }    
    if ($flag = "012") {
        return 403;
    }
}

****注释****

首先,根据给出的Nginx配置代码,我们来分析各部分的逻辑:

$flag 初始值为0。

如果 http_origin 有值,则 flag 加上 "1"。

如果 http_origin 的值不匹配正则表达式 "19.166.2.54.\*",则 flag 加上 "2"。

最后,如果 $flag 的值为 "012",则返回403。

相关推荐
Championship.23.245 小时前
Linux 3.0 锁机制与故障排查详解
linux·运维·服务器
胡萝卜术5 小时前
从API调用到手写LRU:力扣146「LRU缓存」的哈希表+双向链表终极进化之路
前端·javascript·面试
科技道人5 小时前
记录 默认置灰/禁用 app ‘Search Engine Selector‘ 的disable按钮
开发语言·前端·javascript
天疆说6 小时前
Zotero Connector 在 Edge 里找不到桌面 Zotero(Linux / Zotero 9.0.6 / Edge 150)
linux·前端·edge
李伟_Li慢慢7 小时前
02-从硬件说起WebGL
前端·three.js
风123456789~7 小时前
【Linux专栏】ls 排除某个文件
linux·运维·服务器
kyriewen8 小时前
看了微软几万人用AI编程的数据——效率涨24%的代价没人提
前端·ai编程·claude
2601_963771378 小时前
How to Scale Your WordPress Store Traffic in 2026
前端·php·plugin
亿元程序员8 小时前
老板说我的3D箭头游戏用来做试玩太普通了,没人想玩,让我变点花样...
前端
其实防守也摸鱼8 小时前
运维--学习阶段问题解答(1)(自测)
linux·运维·服务器·数据库·学习·自动化·命令模式