简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
> 운영 및 유지보수 > 엔진스 > 본문

Nginx 정책 작성 방법: XSS 공격 방지

WBOY
풀어 주다: 2023-06-09 21:55:39
원래의
2160명이 탐색했습니다.

웹 기술이 지속적으로 발전하면서 보안 문제가 점점 더 중요해지고 있으며, 그중 XSS 공격이 매우 흔합니다. 공격자는 웹사이트에 코드를 삽입하여 사용자가 웹사이트를 탐색할 때 공격을 받도록 함으로써 개인정보를 유출하거나 피싱 사기를 저지릅니다. 따라서 현대 웹 개발에서는 XSS 공격을 방지하는 것이 기본 요구 사항이 되었습니다.

XSS 공격을 방지하려면 Nginx 서버의 작업을 안내하는 몇 가지 정책을 작성해야 합니다. 이러한 정책에는 입력 검사, 출력 검사, 쿠키 필터링 등이 포함될 수 있습니다. 다음은 예를 들어 설명하겠습니다.

  1. 입력 확인

입력 확인이란 매개변수 유형이 올바른지, 특수 문자 필터링 등 사용자가 입력한 데이터를 확인하는 것을 말합니다. Nginx의 경우 Lua 스크립트와 정규식의 조합을 사용하여 입력 검사를 구현할 수 있습니다. 예는 다음과 같습니다. 

location / {
    access_by_lua_block {
        local args = ngx.req.get_uri_args()
        for key, val in pairs(args) do
            if type(val) == "table" then
                for k,v in pairs(val) do
                    if string.match(v, "%W") then
                        ngx.exit(ngx.HTTP_FORBIDDEN)
                    end
                end
            else
                if string.match(val, "%W") then
                    ngx.exit(ngx.HTTP_FORBIDDEN)
                end
            end
        end
    }
}
로그인 후 복사

위 코드에서는 Lua 스크립트를 통해 GET 메서드를 통해 사용자가 전달한 매개변수를 얻고 정규식을 사용하여 매개변수에 특수 문자가 포함되어 있는지 확인합니다. 특수 문자가 있으면 403 오류 페이지가 반환됩니다.

  1. 출력 확인

출력 확인이란 태그, 속성, Javascript 등이 안전한지 여부를 포함하여 백엔드 프로그램의 출력 내용을 확인하는 것을 말합니다. Nginx의 경우 NGX_LUA 모듈의 sub_filter 지시문을 사용하여 출력 검사를 구현할 수 있습니다. 예는 다음과 같습니다. 

location / {
    proxy_pass http://backend;
    sub_filter_types application/json;
    sub_filter 'bad-word' 'good-word';
    sub_filter_last_modified on;
    sub_filter_once off;
}
로그인 후 복사

위 코드에서는 sub_filter 지시문을 활성화하여 백엔드 프로그램에서 반환된 JSON 데이터를 확인합니다. 백엔드 프로그램에서 반환된 데이터에 "bad-word"가 포함되어 있으면 이를 "good-word"로 바꿉니다.

  1. 쿠키 필터링

쿠키 필터링이란 사용자가 설정한 쿠키를 확인하여 보안을 유지하는 것을 말합니다. Nginx의 경우 Lua 스크립트를 사용하여 쿠키 필터링을 구현할 수 있습니다. 예는 다음과 같습니다. 

location / {
    access_by_lua_block {
        local h = ngx.req.get_headers()
        local ck = h.cookie
        if ck ~= nil then
            if string.match(ck, "%W") then
                ngx.exit(ngx.HTTP_FORBIDDEN)
            end
        end
    }
}
로그인 후 복사

위 코드에서는 Lua 스크립트를 사용하여 HTTP 요청 헤더에 설정된 쿠키를 얻고 정규식을 사용하여 쿠키에 특수 문자가 포함되어 있는지 확인합니다. 특수 문자가 있으면 403 오류 페이지가 반환됩니다.

위는 XSS 공격을 방지하기 위한 Nginx 정책 작성 연습입니다. 물론, HTTP 헤더 보안, SQL 주입에 대한 방어 등 실제 애플리케이션에서는 고려해야 할 다른 측면이 많이 있습니다. 따라서 개발 과정에서 웹 애플리케이션의 보안을 향상시키기 위해 실제 상황에 따라 대상 구성을 만들어야 합니다.

위 내용은 Nginx 정책 작성 방법: XSS 공격 방지의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

관련 라벨:
nginx xss攻击 策略编写
원천:php.cn
이전 기사:Nginx 역방향 프록시에 대한 보안 성능 최적화 팁 다음 기사:Rocky Linux 9/AlmaLinux 9에 KVM을 설치하는 방법
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
최신 이슈
라이브와이어가 정의되지 않음 LaravelLivewire 프로젝트를 서버에 배포하는 데 문제가 있습니다. 문제는 livewire.js 파일에 액세스할 수 없으며 콘솔에 Livewireisno...
에서 2023-11-09 15:34:23
0
1
233
PHP 구문 분석 오류를 표시할 수 없습니다 ubuntu10.04+nginx+php-fpm5.4를 실행 중이고 php.ini에서 display_errors=On을 설정하면 모든 오류가 인쇄됩니다. 대신 of...
에서 2023-10-30 14:44:43
0
2
405
"활성 PHP 세션에서 504 오류가 발생할 수 있나요?" 내 Nginx 전용 서버에는 4개의 CPU 코어와 16GB의 메모리가 있으므로 리소스는 충분하지만 CPU 및 PHP 하위 프로세스와 관련된 제한으로 인해 자주 충...
에서 2023-09-08 22:05:29
0
1
226
Nginx를 사용하여 임의의 PHP 버전을 구성할 수 있습니까? 두 가지 다른 php-fpm 버전(7.4 및 8.1)이 있는 nginx가 있습니다. 나는 nginx가 이 두 PHP 버전을 무작위로 로드하기를 원합니다. 예를 들...
에서 2023-09-07 23:33:29
0
1
273
Davical에 그룹을 추가하면 오류가 발생합니다. 안녕하세요. Postgres, nginx 및 php8.1을 사용하여 Nextcloud 옆에 Davical을 설치하려고 합니다. 부분적으로 작동하지만(사용자 또는 ...
에서 2023-09-04 22:16:39
0
1
268
관련 주제
더>
인기 추천
인기 튜토리얼
더>
관련 튜토리얼
인기 추천
최신 강좌
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿
회사 소개 부인 성명 Sitemap
PHP 중국어 웹사이트:공공복지 온라인 PHP 교육,PHP 학습자의 빠른 성장을 도와주세요!