那些遇到过的问题

如何从代理位置删除服务器添加的标头?

ksp*_*rin 20 nginx

我有一个 Nginx 代理设置,我向服务器添加了几个与安全相关的标头,以便它们返回所有代理位置。在某些位置我需要添加额外的标头(例如Content-Security-Policyto /),而在其他特定位置我需要删除在服务器级别添加的标头之一(例如X-Frame-Optionsfrom /framepage.html)。

nginx.conf

# ...

server {
  # ...

  include security-headers.conf;

  location / {
    proxy_pass http://web:5000/;
    include security-headers.conf;
    add_header Content-Security-Policy "my csp...";
  }

  location = /framepage.html {
    proxy_pass http://web:5000/framepage.html;
    # TODO: remove `X-Frame-Options` response header from this specific page
    # Tried add_header X-Frame-Options "";
    # Tried proxy_set_header X-Frame-Options "";
    # Tried proxy_hide_header X-Frame-Options;
  }

  location /api/ {
    proxy_pass http://api:5000/;
  }

  location /otherstuff/ {
    proxy_pass http://otherstuff:5000/;
  }

  # ...
}
Run Code Online (Sandbox Code Playgroud)

security-headers.conf

add_header Referrer-Policy same-origin;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
Run Code Online (Sandbox Code Playgroud)

我尝试了以下方法,但似乎都没有X-Frame-Options/framepage.html位置响应中删除标头:

  • add_header X-Frame-Options "";
  • proxy_set_header X-Frame-Options "";
  • proxy_hide_header X-Frame-Options;

如何X-Frame-Options/framepage.html位置响应中删除标头?

Wil*_*ilt 20

标头配置属性有点令人困惑,这就是它们的作用:

proxy_set_header是设置请求头
add_header是向响应添加头
proxy_hide_header是隐藏响应头

如果您想替换响应中已存在的标头,它是不够的,add_header因为它将堆叠值(来自服务器和您添加的值)。

您必须分两步执行此操作:

1)删除标题:
proxy_hide_header Access-Control-Allow-Origin;

2)添加您的自定义标头值:
add_header Access-Control-Allow-Origin "*" always;

  • 帮助,proxy_hide_header 与 proxy_pass 一起使用,它不适用于“return” (3认同)

Leo*_*Leo 5

您可能可以尝试使用第 3 方“Headers More”模块:

https://github.com/openresty/headers-more-nginx-module

以及类似的内容:

load_module modules/ngx_http_headers_more_filter_module.so;

http {
    ...
    more_clear_headers 'X-Frame-Options';
    ...
}
Run Code Online (Sandbox Code Playgroud)

Mig*_*ota 5

您可以使用 headers_more 模块。例子:

location / {
    proxy_pass http://upstream_server/;
    more_clear_headers 'Access-Control-Allow-Origin';
}
Run Code Online (Sandbox Code Playgroud)

https://www.nginx.com/resources/wiki/modules/headers_more/

归档时间:

查看次数:

39429 次

最近记录:

5 年,6 月 前
相关归档
nginx HTTPS 使用与 HTTP 相同的配置 215
使用上游 SSL 将 Nginx 配置为反向代理 49
是否可以在 nginx 中看到活动连接? 6
在 nginx 中添加和使用标头(HTTP) 6
覆盖单个位置块的 nginx 拒绝规则 6
nginx 在两个不同的端口上接受 HTTP 和 HTTPS 请求 5
wp nginx fastcgi 缓存 vs wp 超级缓存 5
nginx 上游和fail_timeout 4
我可以使用 /etc/nginx/conf.d 添加位置吗? 3
Nginx 简单 PUT 文件 0
难疑归档
.profile .bash_profile 和 .bashrc 之间的功能区别是什么 285
'set -e' 有什么作用,为什么它会被认为是危险的? 157
告诉 Jenkins 在特定的从节点上运行特定的项目 103
如何使用命令行界面连接到 Windows 服务器?(命令行界面) 101
有哪些解决方案允许对服务器配置文件使用修订控制? 85
ServerName 和 ServerAlias 如何工作? 84
如何列出所有连接的 Salt Stack Minion? 81
我如何保护我的公司免受我的 IT 人员的攻击? 75
如何在 nginx 中创建一个与 AND 一起使用且不带斜杠的位置? 63
如何实时监控Windows日志文件? 58