【nginx】转发配置、漏洞整改

news2024/11/24 9:18:53

转发配置

常见的接口调用配置:

location /com_api/ {
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header Host $http_host;
    proxy_pass http://后端服务IP:后端服务端口号/;
}

若转发调不通时(常出现在调用第三方系统时),考虑去掉头消息的配置。

location /weather_api/ {
    #proxy_set_header X-Real-IP $remote_addr;
    #proxy_set_header Host $http_host;
    proxy_pass http://wthrcdn.etouch.cn/;
}

若是本地开发的代理配置,则需要加上changeOrigin: true。

'/weather_api/': {
  target: 'http://wthrcdn.etouch.cn',
  changeOrigin: true,
  pathRewrite: {
    '^/weather_api/': ''
  }
},

这里有个遗留的问题:
如果weather_api在nginx没有配置,代码中调用了接口,但是不报错404。
然而如果本地开发的时候没配置代理,代码中调用接口时就会报错404。
为啥只要通过nginx转发就不报错呢?但是其他的接口nginx不配置也会404呀?

漏洞扫描安全评估整改

1、nginx版本升级版本大于1.23.2

因为我们使用docker部署的,只需修改docker-compose.yml文件:

version: "3.7"
services:
  base-nginx:
    restart: always
    image: nginx:1.24.0
    container_name: base-nginx
    ……

修改镜像的版本号image: nginx:1.24.0,重启服务即可。
若出现docker报错:ERROR: missing signature key,可能是Docker version 17.12.1-ce版本太低了不支持,考虑升级到image: nginx:1.22.1。

2、修改nginx配置

在http下添加:

server_tokens off;
add_header X-Frame-Options DENY;
add_header X-XSS-Protection  "1; mode=block";
add_header X-Content-Type-Options nosniff;

需要注意的是,如果项目用到了iframe,不能配置add_header X-Frame-Options DENY;

  • add_header X-Frame-Options ALLOWALL; #允许所有域名iframe
  • add_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名
  • add_header X-Frame-Options SANEORIGIN; #允许相同域名iframe,如a.test.com允许b.test.com
  • add_header X-Frame-Options ALLOW-FROM uri; #允许指定域名iframe,
    所以看着来配置吧,我们是直接去掉了。

3、参考文档

https://blog.csdn.net/weiweiyixiaohhl/article/details/132795873
https://blog.csdn.net/qq_23934063/article/details/121076732
https://blog.csdn.net/jane_xing/article/details/119564046

另外pdf.js存在CVE-2024-4367漏洞

pdfjs存在CVE-2024-4367漏洞,可被执行任意js代码。
需要进行安全性升级:修复建议,将PDF.js 更新到版本 4.2.67 或更高版本。

1、在npm官网找到对应包

https://www.npmjs.com/package/pdfjs-dist
使用npm install 命令下载以后使用方式不对呀,找不到html文件。

2、pdfjs官网找包

看到右侧的Homepage:mozilla.github.io/pdf.js/
于是去官网下载了稳定版本,好像就可以了,使用方法保持和原来的一致。
如果还是不行并且报错如下图所示:
在这里插入图片描述
因为浏览器版本太低了!!!
找了半天原因,直到看到这个:
https://github.com/mozilla/pdf.js?tab=readme-ov-file#online-demo
我的浏览器属于Older browsers,才能打开;然而Modern browsers的示例,我打开报错。
晕死,还以为是接口请求的问题,先请求到接口再window.open各种都尝试了都不行。

3、部署后报错

本地正常了,然后部署到现场发现报错:
Failed to load module script: Expected a JavaScript module script but the server responded
百度后发现,在nginx配置的server下加上如下语句就好了:

include mime.types;
types
{
  application/javascript mjs;
}

参考文章:https://blog.csdn.net/ken_coding/article/details/136761141
但是,后面发现文件能打开了,控制台继续报错:

api.js:2149 Refused to create a worker from '***/static/pdfjs/build/pdf.worker.mjs' because it violates the following Content Security Policy directive: "worker-src blob:".

说明,nginx配置了安全策略,查看nginx配置文件,确实有如下语句:

add_header Content-Security-Policy "style-src 'self' 'unsafe-inline' http://at.alicdn.com; script-src 'self' 'unsafe-inline' 'unsafe-eval' https://pv.sohu.com https://*.amap.com; worker-src blob:";

但是一个环境报错,一个环境不报错,对比了nginx的配置差异。
不报错的环境,在location / {和location ~*\.(js|css|png|jpg|jpeg|gif|ico)$ {下配置了允许跨域的语句,如下语句:

add_header Access-Control-Allow-Origin *;
add_header Access-Control-Allow-Methods 'GET, POST, OPTIONS';
add_header Access-Control-Allow-Headers 'DNT,X-Mx-ReqToken,Keep-Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Type,Authorization';

加上之后果然就不报错了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2128391.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

大数据 - OLAP与OLTP的区别

前言 联机事务处理OLTP(on-line transaction processing)和 联机分析处理OLAP(On-Line Analytical Processing)。 OLTP,主要是面向传统的“增删改查”事务系统,数据大都是以实体对象模型来存储数据&#…

Java设计模式—面向对象设计原则(二) --------> 里氏代换原则 LSP (完整详解,附有代码+案列)

文章目录 里氏代换原则3.2.1 概述3.2.2 改进上述代码 里氏代换原则 3.2.1 概述 里氏代换原则是面向对象设计的基本原则之一。 里氏代换原则:任何基类可以出现的地方,子类一定可以出现。通俗理解:子类可以扩展父类的功能,但不能…

快速同步与问题解决:每日站立会议的实用指南

每日站会不管是在大型企业中,还是在中小型企业中都是每日必备的一种晨会。但并不是所有的企业都能够正确使用每日站会,较多的企业在每日站会中总会偏离每日站会的使用目的,从而变成了一个偏向于教育批评的会议。本篇文章中,让我们…

4WRA6E07-2X/G24N9K4/VL配套HE-SP2比例放大器

比例方向阀由直流比例电磁铁与液压阀两部分组成。通过BEUEC比例放大器对控制信号进行功率放大后,电磁铁产生与电流成比例的力或位移,移动阀芯位置,实现流量和流向的精确控制。比例方向阀能实现流量和方向的连续且精确的控制,尤其是…

企业如何“向内求”, 挖出更多净利润?

未来的财务部门将是一个“主导“部门,成为业务的翻译官,成为业财融合的引领者,引领企业走在最适合自己的财务数智化转型道路上。 作者|思杭 出品|产业家 收入增速放缓、营收下滑、消费意愿降低,这些也许是近半年在各种企业财…

14款用于创建和销售数字产品的工具(专家推荐)

创建和销售数字产品是获得被动收入并向全球观众分享您的专业知识的绝佳方式。但您需要合适的工具来实现这一目标。否则,您可能会在复杂的系统上浪费时间和金钱,最终无法获得预期的效果。 在WPBeginner,我们已经创建数字产品超过十年&#xf…

[FireshellCTF2020]Caas1

知识点&#xff1a; 1.文件包含 2.#include " " 预处理报错 进入页面发现是让我么输入code然后他去处理&#xff0c;那就输一下试试. 它报错了&#xff0c;可以看出这是个C语言的报错&#xff0c;那么传入一下C语言代码. #include <stdio.h>int main() {prin…

力扣最热一百题——二叉树的直径

目录 题目链接&#xff1a;543. 二叉树的直径 - 力扣&#xff08;LeetCode&#xff09; 题目描述 示例 提示&#xff1a; 解法一&#xff1a;深度优先搜索 实现思路&#xff1a; 关键点&#xff1a; Java写法&#xff1a; 运行时间 C写法&#xff1a; 运行时间 总结…

优思学院|精益工程师是做什么的? 前途好吗?

如果你有经常留意招聘网站&#xff0c;你或者会偶尔看到精益工程师这个职位&#xff0c;事实上精益工程师这个岗位不多&#xff0c;但却有很多人会觉得精益工程师前途无限&#xff0c;到底为什么呢&#xff1f; 精益工程师的职责主要围绕着帮助企业减少浪费、优化流程、提升效…

第二证券:股票是谁控制涨跌?股票涨跌如何计算?

股票是谁控制涨跌&#xff1f; 1、上市公司基本面 上市公司基本面包括盈利才干、成长性、财务状况、管理水平、行业远景、商场竞争、工业政策等。这些方面是决定股价长时间趋势的首要要素&#xff0c;一般来说基本面好的公司&#xff0c;其股价会随着成绩的提高而上涨。 2、…

solidworks案例4-20240911

使用到的命令&#xff1a;拉伸&#xff0c;拉伸切除

Linux常用命令笔记

执行查看帮助命令 1.1 Linux命令的格式 命令名称 [命令参数] [命令对象] 命令名称、命令参数、命令对象之间请用空格键分隔命令对象一般是指要处理的文件、目录、用户等资源&#xff0c;而命令参数可以用长格式&#xff08;完整的选项名称&#xff09;&#xff0c;也可以用短…

word文档的读入(6)

上一个方式&#xff0c;虽然能获取到标准答案和所对应的学生答案&#xff0c;但代码不够简单和优雅。这时&#xff0c;可以用另一种方式来实现&#xff1a;遍历索引。 定义 简单来说&#xff0c;enumerate()函数用来遍历一个可遍历对象中的元素&#xff0c;同时通过一个计数器…

基础——使用windows自带远程桌面远程linux

基础——使用windows自带远程桌面远程linux_win11远程桌面登陆linux集群-CSDN博客文章浏览阅读1.1w次&#xff0c;点赞6次&#xff0c;收藏43次。没做配置前远程连接效果如下&#xff1a;前提&#xff1a;如果linux没有图形界面请运行一下命令yum -y groups install "GNOM…

离线语音识别芯片让家用饮水茶吧机更智能

随着科技的飞速发展&#xff0c;智能家居逐渐走进人们的生活。本文将探讨离线语音识别技术如何为家用饮水茶吧机带来智能化的全新体验。通过引入语音模块&#xff0c;家用饮水茶吧机得以实现更加便捷的操作方式&#xff0c;为用户带来更加智能的生活体验。 在如今快速发展的时…

DV证书和OV证书的区别有哪些?主要有5点

众所周知&#xff0c;SSL证书按照验证方式的不同可以分为DV SSL证书、OV SSL证书和EV SSL证书等3种&#xff0c;而对于DV SSL证书和​​​​​​​OV SSL证书的区别很多人都不知晓&#xff0c;为了便于用户选择&#xff0c;锐成信息就DV SSL证书和OV SSL证书的不同点进行一个大…

怎么设置电脑禁止访问网页/网站?一分钟教你五个方法,实现网站访问黑名单,让员工专注力满满!

"心无杂念&#xff0c;方能致远。" 怎么设置电脑禁止访问网页/网站&#xff1f;当员工的注意力频繁被社交媒体、娱乐网站等非工作相关页面吸引时&#xff0c;公司的生产力与信息安全问题便悄然而至&#xff01; 如何在保障员工适当网络自由的同时&#xff0c;构建…

Unity Apple Vision Pro 开发(九):空间锚点

XR 开发者社区链接&#xff1a; SpatialXR社区&#xff1a;完整课程、项目下载、项目孵化宣发、答疑、投融资、专属圈子 课程试看&#xff1a;https://www.bilibili.com/video/BV1JFHgegEb2 课程完整版&#xff0c;答疑仅社区成员可见&#xff0c;可以通过文章开头的链接加入…

0基础带你入门之Linux简介

1.Linux和Windows对比 Window很明显的特征就是有C盘、D盘登各种磁盘 我们通过点击不同的盘符&#xff0c;点击里面存储的文件进行查阅的操作 而Linux则很简单&#xff0c;只有一个根目录&#xff0c;也可以说只有一个盘&#xff0c;整个系统所有的东西都是在根目录下的 我们可…