Bagaimana untuk mengkonfigurasi akses merentas domain Nginx dan anti-leeching

Kawalan akses merentas domain

Akses merentas domain

Mengapa penyemak imbas melarang akses merentas domain

Tidak selamat dan terdedah kepada serangan CSRF!

Jika tapak web b dikawal oleh penggodam menambah maklumat berniat jahat dalam pengepala respons untuk membolehkan pelanggan mengakses tapak web a, serangan CSRF akan berlaku

Cara mengkonfigurasi akses merentas domain dalam nginx

sintaks add_header

• sintaks: nilai nama add_header [sentiasa];

• lalai:—

• konteks:http, pelayan, lokasi, jika di lokasi

Penjelasan sintaks:

• tambah_nilai nama pengepala [sentiasa];

• nama mewakili kunci yang dikembalikan oleh pengepala respons

• nilai mewakili pengepala respons Nilai yang sepadan dengan kunci yang dikembalikan

• tambah_header konfigurasi merentas domain

location ~ .*\.(htm|html)$ {
  add_header access-control-allow-origin *;
  add_header access-control-allow-methods get,post,put,delete,options;
  root /opt/app/code;
}

Anti-pautan panas

Tujuan anti-pautan panas

• Mengelakkan sumber daripada disalahgunakan.

• Halang akses pengguna yang tidak normal, menduduki sumber tapak web, menjejaskan prestasi tapak web dan sudah pasti akan menjejaskan akses pengguna biasa

Anti-pautan panas berdasarkan Modul Konfigurasi http_referer

Modul ngx_http_referer_module digunakan untuk menyekat permintaan dengan nilai tidak sah dalam medan pengepala "perujuk" daripada mengakses tapak.

Contoh

valid_referers none blocked server_names
 
        *.example.com example.* www.example.org/galleries/
 
        ~\.google\.;
 
if ($invalid_referer) {
 
  return 403;
 
}

referer_hash_bucket_size sintaks

• sintaks: referer_hash_bucket_size; > lalai: referer_hash_bucket_size 64;

• konteks: pelayan, lokasi

• Penjelasan sintaks:

referer_hash_size_bucket_size tetapan adalah sah Saiz storan jadual cincang rujukan.

referer_hash_max_size Sintaks

sintaks: referer_hash_max_size;

• default_sh_0 .

• sintaks_perujuk yang sah

• sintaks: valid_referers tiada | nama pelayan | 🎜>
lalai: —

konteks: pelayan, lokasi

Penjelasan sintaks:

• valid_referers tiada |. dihalang |. nama pelayan | 🎜> disekat bermakna medan "perujuk" muncul dalam pengepala permintaan, tetapi nilainya telah dialih keluar oleh tembok api atau pelayan proksi ini adalah rentetan yang tidak bermula dengan "http://" atau "; https://";

• nama_pelayan bermaksud medan pengepala permintaan "perujuk" mengandungi nama pelayan;

• rentetan bermaksud mentakrifkan pelayan nama dan awalan uri pilihan. Nama pelayan boleh mengandungi "*" pada permulaan atau akhir. Port pelayan dalam medan "perujuk" diabaikan semasa semakan;

Kes kecil anti-pautan panas

• touch test_referer. html (Dalam direktori /op/app/code)

  <html>
  <head>
    <meta charset="utf-8">
    <title>imooc1</title>
  </head>
  <body style="background-color:red;"><br data-filtered="filtered">　　 <h1 id="张彪">张彪</h1>
    <img  src="/static/imghw/default1.png"  data-src="http://192.168.1.112/wei.png"  class="lazy"  / alt="Bagaimana untuk mengkonfigurasi akses merentas domain Nginx dan anti-leeching" >
  </body>
  </html>

• Mengkonfigurasi anti-pautan panas akan menyebabkan ralat jika ia tidak dipindahkan daripada nama domain www.zhangbiao.com

location ~ .*\.(jpg|gif|png)$ {
  valid_referers none blocked www.zhangbiao.com;
  if ($invalid_referer) {
    return 403;
  }
  root /opt/app/code/images;
}
location ~ /test_refer.html {
  root /opt/app/code;
 
}

• Lawati

  http://192.168.1.112/test_refer.html

• Lawati

  http://www.zhangbiao.com/test_refer.html

Benarkan tapak web lain mengakses anda konfigurasi sumber tapak web




Atas ialah kandungan terperinci Bagaimana untuk mengkonfigurasi akses merentas domain Nginx dan anti-leeching. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!