Praxis beim Verfassen von Nginx-Richtlinien: Verhindern von XSS-Angriffen

Mit der kontinuierlichen Weiterentwicklung der Web-Technologie sind Sicherheitsaspekte immer wichtiger geworden, wobei XSS-Angriffe äußerst häufig vorkommen. Angreifer schleusen Code in die Website ein, sodass Benutzer beim Surfen auf der Website angegriffen werden, wodurch die Privatsphäre verloren geht oder Phishing-Betrügereien durchgeführt werden. Daher ist in der modernen Webentwicklung die Abwehr von XSS-Angriffen zu einer Grundvoraussetzung geworden.

Um XSS-Angriffe zu verhindern, müssen wir einige Richtlinien schreiben, die die Arbeit des Nginx-Servers steuern. Diese Richtlinien können Eingabeinspektion, Ausgabeinspektion, Cookie-Filterung usw. umfassen. Das Folgende wird anhand von Beispielen erläutert.

1. Eingabeprüfung

Eingabeprüfung bezieht sich auf die Überprüfung der vom Benutzer eingegebenen Daten, einschließlich der Richtigkeit der Art der Parameter, der Filterung von Sonderzeichen usw. Für Nginx kann die Eingabeprüfung mithilfe einer Kombination aus Lua-Skripten und regulären Ausdrücken implementiert werden. Hier ist ein Beispiel:

location / {
    access_by_lua_block {
        local args = ngx.req.get_uri_args()
        for key, val in pairs(args) do
            if type(val) == "table" then
                for k,v in pairs(val) do
                    if string.match(v, "%W") then
                        ngx.exit(ngx.HTTP_FORBIDDEN)
                    end
                end
            else
                if string.match(val, "%W") then
                    ngx.exit(ngx.HTTP_FORBIDDEN)
                end
            end
        end
    }
}

Im obigen Code erhalten wir die vom Benutzer über die GET-Methode übergebenen Parameter über das Lua-Skript und verwenden reguläre Ausdrücke, um zu bestimmen, ob die Parameter Sonderzeichen enthalten. Wenn Sonderzeichen vorhanden sind, wird eine 403-Fehlerseite zurückgegeben.

2. Ausgabeprüfung

Die Ausgabeprüfung bezieht sich auf die Überprüfung des Ausgabeinhalts des Back-End-Programms, einschließlich der Sicherheit von Tags, Attributen, Javascript usw. Für Nginx kann die sub_filter-Direktive im NGX_LUA-Modul verwendet werden, um die Ausgabeprüfung zu implementieren. Hier ist ein Beispiel:

location / {
    proxy_pass http://backend;
    sub_filter_types application/json;
    sub_filter 'bad-word' 'good-word';
    sub_filter_last_modified on;
    sub_filter_once off;
}

Im obigen Code aktivieren wir die sub_filter-Direktive, um die vom Backend-Programm zurückgegebenen JSON-Daten zu überprüfen. Wenn die vom Backend-Programm zurückgegebenen Daten „schlechtes Wort“ enthalten, ersetzen Sie es durch „gutes Wort“.

3. Cookie-Filterung

Cookie-Filterung bezieht sich auf die Überprüfung der vom Benutzer gesetzten Cookies, um deren Sicherheit zu gewährleisten. Für Nginx kann das Lua-Skript verwendet werden, um die Cookie-Filterung zu implementieren. Hier ist ein Beispiel:

location / {
    access_by_lua_block {
        local h = ngx.req.get_headers()
        local ck = h.cookie
        if ck ~= nil then
            if string.match(ck, "%W") then
                ngx.exit(ngx.HTTP_FORBIDDEN)
            end
        end
    }
}

Im obigen Code verwenden wir ein Lua-Skript, um das im HTTP-Anforderungsheader festgelegte Cookie abzurufen, und verwenden reguläre Ausdrücke, um zu bestimmen, ob das Cookie Sonderzeichen enthält. Wenn Sonderzeichen vorhanden sind, wird eine 403-Fehlerseite zurückgegeben.

Das Obige ist die Vorgehensweise beim Schreiben von Nginx-Richtlinien zur Verhinderung von XSS-Angriffen. Natürlich gibt es in praktischen Anwendungen noch viele andere Aspekte zu berücksichtigen, wie z. B. HTTP-Header-Sicherheit, Abwehr von SQL-Injection usw. Daher müssen während des Entwicklungsprozesses gezielte Konfigurationen basierend auf tatsächlichen Bedingungen vorgenommen werden, um die Sicherheit von Webanwendungen zu verbessern.

Das obige ist der detaillierte Inhalt vonPraxis beim Verfassen von Nginx-Richtlinien: Verhindern von XSS-Angriffen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!