当前位置：首页 > news >正文

Nginx使用“逻辑与”配置origin限制，修复CORS跨域漏洞

news 2026/2/10 15:04:35

1.漏洞报告

漏洞名称： CORS 跨域
漏洞等级： 中危
漏洞证明： Origin从任何域名都可成功访问，未做任何限制。
漏洞危害： 因为同源策略的存在，不同源的客户端脚本不能访问目标站点的资源，如果目标站点并配置不当，没有对请求源的域做严格限制，导致任意源都可以访问时，就能在 CORS 跨域漏洞问题，CORS 漏洞一般用于窃取用户敏感数据，如果用户点击触发了而已页面，就会被盗取数据。
解决建议： 修复方法是合理配置 CORS，判断 Origin 是否合法。具体说就是请求头不要配置 Access-Control-Allow-Origin 为 * 或 null。

2.漏洞复现

复现方式为在 Header 中指定 Origin 请求头，看是否可以请求成功。

curl -H 'Origin:http://aaa.bbb' http://10.14.32.138:80

发现确实可以正常请求成功，开始修复。

3.Nginx 修复

3.1 添加请求头

location /myProject/api/ {add_header 'Access-Control-Allow-Origin' 'http://10.14.32.138:80' always;add_header 'Access-Control-Allow-Credentials' 'false'  always;include      proxy_params;proxy_pass   http://localhost:8081/;access_log   /tmp/httplogs/uat-mobileapi-access.log main;error_log    /tmp/httplogs/uat-mobileapi-error.log;
}

添加完毕，提交复测，发现即使添加了请求头配置，当origin为其他域名时仍能正常访问。

3.2 配置origin限制

进一步通过添加 origin 限制来修复，其他域名访问时，直接返回 403 状态码。

location /myProject/api/ {if ($http_origin !~* "(www.test.com|10.14.32.138)" ) {return 403;}add_header 'Access-Control-Allow-Origin' 'http://10.14.32.138:80' always;add_header 'Access-Control-Allow-Credentials' 'false'  always;include      proxy_params;proxy_pass   http://localhost:8081/;access_log   /tmp/httplogs/uat-mobileapi-access.log main;error_log    /tmp/httplogs/uat-mobileapi-error.log;
}

配置之后，发现虽然跨域请求被限制住了，但是页面上的请求也无法访问了。

排查发现，页面上请求时不会传 Origin 请求头，所以也返回 403 状态码了。

2.3 调整origin限制

需要将 Origin 限制改为 Origin 为空也可以正常访问。

location /myProject/api/ {set $allow_cors 0;# 判断不为空if ($http_origin) {set $allow_cors 1;}# 判断不在白名单内if ($http_origin !~* "(www.test.com|10.14.32.138)" ) {set $allow_cors "${allow_cors}1";}# 判断不为空 且 不在白名单内，返回403if ($allow_cors = "11") {return 403;}add_header 'Access-Control-Allow-Origin' 'http://10.14.32.138:80' always;add_header 'Access-Control-Allow-Credentials' 'false'  always;include      proxy_params;proxy_pass   http://localhost:8081/;access_log   /tmp/httplogs/uat-mobileapi-access.log main;error_log    /tmp/httplogs/uat-mobileapi-error.log;
}

配置之后，复测通过，页面也可以正常访问了。

整理完毕，完结撒花~

参考地址：

1.Nginx配置origin限制跨域请求(应对等保)，https://blog.csdn.net/qq_20236937/article/details/128640137

2.Nginx:如果头不存在或错误，则拒绝请求，https://www.it1352.com/1679888.html

3.NGINX实现IF语句里的AND，OR多重判断，https://blog.51cto.com/qiangsh/1967549

Nginx使用“逻辑与”配置origin限制，修复CORS跨域漏洞

目录1.漏洞报告2.漏洞复现3.Nginx 修复3.1 添加请求头3.2 配置origin限制2.3 调整origin限制1.漏洞报告漏洞名称： CORS 跨域漏洞等级： 中危漏洞证明： Origin从任何域名都可成功访问，未做任何限制。漏洞危害： 因为同源…...

编程日记 2023/2/27 1:35:11

Laravel框架02：路由与控制器

Laravel框架02：路由与控制器一、路由配置文件二、路由参数三、路由别名四、路由群组五、控制器概述六、控制器路由七、接收用户输入一、路由配置文件以web网页路由文件为例： 默认根路由路由定义格式Route::请求方式(请求的URL, 匿名函数或控制响应的方…...

编程日记 2023/2/27 1:33:58

【POJ 2418】Hardwood Species 题解（映射）

描述阔叶树是一种植物群，具有宽阔的叶子，结出果实或坚果，通常在冬天休眠。美国的温带气候造就了数百种阔叶树种的森林，这些树种具有某些生物特征。例如，虽然橡树、枫树和樱桃都是硬木树，但它们是不同的物…...

编程日记 2023/2/27 1:32:41

一、写一个时钟用 react 写一个每秒都可以更新一次的时钟 import React from react import ReactDOM from react-domfunction tick() {let ele <h1>{ new Date().toLocaleTimeString() }</h1>// Objects are not valid as a React child (found: Sun Aug 04 20…...

编程日记 2023/2/27 1:31:17

【RabbitMQ笔记07】消息队列RabbitMQ七种模式之Publisher Confirms发布确认模式

这篇文章，主要接收消息队列RabbitMQ七种模式之Publisher Confirms发布确认模式。目录一、消息队列 1.1、发布确认模式 1.2、案例代码 （1）引入依赖 （2）编写生产者【消息确认--单条确认】 （3&#xf…...

编程日记 2023/2/27 1:30:08

【华为OD机试模拟题】用 C++ 实现 - IPv4 地址转换成整数（2023.Q1）

最近更新的博客【华为OD机试模拟题】用 C++ 实现 - 去重求和（2023.Q1）文章目录最近更新的博客使用说明IPv4 地址转换成整数题目输入输出示例一输入输出说明示例一输入输出说明Code使用说明参加华为od机试，一定要注意不要完全背诵代码，需要理解之后模仿写出，...

编程日记 2023/2/27 1:28:59

闭包与高阶函数

文中内容均来自于曾探《JavaScript设计模式与开发实践》的学习笔记。闭包作用域变量的作用域，就是指变量的有效范围。局部变量、全局变量。变量的搜索是从内到外而非从外到内的。变量的生命周期对于全局变量莱索，全局变量的生命周期是永久的，…...

编程日记 2023/2/27 1:27:45

人工智能轨道交通行业周刊-第35期（2023.2.20-2.26）

本期关键词：重庆智慧轨道、智能运维主机、标准轨距、地方铁路公报、景深、机器视觉应用 1 整理涉及公众号名单 1.1 行业类 RT轨道交通人民铁道世界轨道交通资讯网铁路信号技术交流北京铁路轨道交通网上榜铁路视点ITS World轨道交通联盟VSTR铁路与城市轨道交通Rai…...

编程日记 2023/2/27 1:26:31

快慢指针判断链表是否有环

快慢指针判断链表是否有环单链表有可能存在环，有些情况下要判断一个单链表是否有环。数组的有个快慢指针的方法，其实单链表和数组有相似的地方，可以使用快慢指针的方法。具体做法如下： 首先创建两个指针，它们初始时…...

编程日记 2023/2/27 1:25:20

《MongoDB入门教程》第26篇聚合统计之$max/$min表达式

本文将会介绍两个 MongoDB 表达式，返回一组数据中最大值的 $max 表达式，以及返回一组数据中最小值的 $min 表达式。 $max 表达式 $max 表达式用于返回一组数据中的最大值，语法如下： { $max: <expression> }$max 表达式在…...

编程日记 2023/2/27 1:23:45

FPGA纯verilog解码SDI视频纯逻辑资源实现提供2套工程源码和技术支持

目录1、前言2、硬件电路解析SDI摄像头Gv8601a单端转差GTX解串SDI解码VGA时序恢复YUV转RGB图像输出FDMA图像缓存HDMI输出3、工程1详解：无缓存输出4、工程2详解：缓存3帧输出5、上板调试验证并演示6、福利：工程代码的获取1、前言 FPGA实现SDI视…...

编程日记 2023/2/27 1:22:37

JVM篇之垃圾回收

一.如何判断对象可以回收 1.引用计数法只要一个对象被其他变量所引用，就让它的计数加1，被引用了两次就让它的计数变成2，当这个变量的计数变成0时，就可以被垃圾回收； 弊端：当出现如下图的情况&#xff0…...

编程日记 2023/2/27 1:21:22

尝试用程序计算Π(3.141592653......)

文章目录1. π\piπ2. 用微积分来计算π\piπ2.1 原理2.2 代码2.3 结果2.4 分析1. π\piπ π\piπ的重要性或者地位不用多说，有时候还是很好奇，精确地π\piπ值是怎么计算出来的。研究π\piπ的精确计算应该是很多数学家计算机科学家努力的方向&#xf…...

编程日记 2023/2/27 1:20:06

【异常检测三件套】系列3--时序异常检测综述

写在前面：异常检测共包含3个内容，从多个方面剖析异常检测方法，本文为第三篇。过往内容请查看以下链接：【异常检测三件套】系列1--14种异常检测算法https://blog.csdn.net/allein_STR/article/details/128114175?csdn_share_tail=%7B%22type%22%3A%22blog%22%2C%22rType%…...

编程日记 2023/2/27 1:18:34

关于SAP 错误日志解析

有时候启动或操作sap会出现故障，只是察看sap用户当前目录下的日志文件可能不得要领，此时有必要察看work目录下的一些trace. 以Linux系统为例，其他的也差不多。 instance说明如下 DVEBMGS?? ABAP Central Instance D?? …...

编程日记 2023/2/27 1:17:25

java：自定义变量加载到系统变量后替换shell模版并执行shell

这里的需求前提是，在项目中进行某些操作前，需要在命令后对shell配置文件的进行修改（如ip、port），这个对于用户是不友好的，需要改为用户页面输入ip、port，后台自动去操作修改配置；那么…...

编程日记 2023/2/27 1:16:15

Redis高级删除策略与数据淘汰

第二章：Redis高级学习目标目标1：能够说出redis中的数据删除策与略淘汰策略目标2：能够说出主从复制的概念，工作流程以及场景问题及解决方案目标3：能够说出哨兵的作用以及工作原理，以及如何启用哨兵 …...

编程日记 2023/2/27 1:15:06

社畜大学生的Python之pandas学习笔记,保姆入门级教学

接上期，上篇介绍了 NumPy，本篇介绍 pandas。目录 pandas 入门pandas 的数据结构介绍基本功能汇总和计算描述统计处理缺失数据层次化索引 pandas 入门 Pandas 是基于 Numpy 构建的，让以 NumPy 为中心的应用变的更加简单。 Pandas是基于Numpy…...

编程日记 2023/2/27 1:13:51