Aru*_*gal 3 iframe nginx frames x-frame-options server
操作系统: Ubuntu 14.04
nginx: nginx 版本:nginx/1.4.6 (Ubuntu)
为了在浏览器端为框架提供基于点击劫持的安全性,X-Frame-Options可以通过 3 种不同的方式设置标头选项。
DENYSAMEORIGINALLOW-FROM <uri>PS:https: //www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet(兼容性矩阵)和https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options(笔记:不要将 Apache 与 Nginx 混合用于配置部分)。
我想在我的 Jenkins 机器上(即 Jenkins 作业的仪表板上)启用框架/ iframe (由日志解析器插件生成/提供)的显示。有关更多信息,您可以在此处查看一些背景:Jenkins Log parser plugin - parsed console log page is not shown Load returned by X-Frame-Options does not allowed framing ERR_BLOCKED_BY_RESPONSE
为此,我需要确保以下几行不存在于我的 jenkins https conf 文件 / 的 NGINX 配置中,或者您可以将其注释掉。
add_header X-Frame-Options DENY;
注释此行,框架现在将在浏览器中(即作业的仪表板上)呈现良好,但这样做会带来安全问题。
要实现第二个选项,请确保删除/替换上面的行,或者确保 Jenkins https conf 的 NGINX 配置文件中存在以下行。
add_header X-Frame-Options SAMEORIGIN;
现在,第三种方法采用单词ALLOW-FROM https://_URI_value,ALLOW-FROM并在URL 部分之前和之后使用不带双引号的 / 。
这将告诉 NGINX 允许渲染来自给定 URI(在我的例子中为 JENKINS URL)的帧,因此我尝试了以下操作:
#ALLOW-FROM https://my.company.jenkins.com/
#add_header X-Frame-Options ALLOW-FROM https://my.company.jenkins.com/
#add_header X-Frame-Options "ALLOW-FROM https://my.company.jenkins.com/"
如果我仅启用第一行(如上面列出的第三种方法)并运行sudo service nginx restart; sleep 1; tail -1 /var/log/nginx/error.log,那么我将收到以下输出/错误。
* Restarting nginx nginx [fail]
2017/08/24 15:27:39 [emerg] 127120#0: unknown directive "ALLOW-FROM" in /etc/nginx/sites-enabled/jenkins_https.conf:23
如果我仅启用第二行或第三行(如上面列出的第三种方法),那么我将得到以下第二行/第三行的输出/错误。
* Restarting nginx nginx [fail]
2017/08/24 15:29:49 [emerg] 127189#0: invalid number of arguments in "add_header" directive in /etc/nginx/sites-enabled/jenkins_https.conf:23
如何成功地在 nginx 配置文件中使用 ALLOW-FROM 语法,同时重新启动成功而不会出现上述故障,并且允许来自给定 URI/URL 的帧/iframe 渲染?
PS:
使用add_header X-Frame-Options SAMEORIGIN;,我的问题得到解决,但我主要是寻找ALLOW-FROM <URI/URL>语法不起作用的原因并给我上述错误消息。
上面接受的语法不起作用。
预期的语法是
add_header X-Frame-Options "allow-from https://my.example.com/";
在 nginx/1.11.9 和 nginx/1.15.9 版本上测试成功
| 归档时间: |
|
| 查看次数: |
12356 次 |
| 最近记录: |