跨站点请求伪造

上个星期,需要进行环境的压力测试,以及安全报告测试,然后就弹出以下问题,解决问题之后,在博客上进行以下备注,以供后台的学习和各位小伙伴的使用。

一、出现的问题

问题出现在哪里,项目后台使用SpringBoot,前端使用Vue的Nuxt框架,后端没有问题的同时,前端出现了js可以进行模拟合法用户访问的问题,因为我们访问项目时候是通过Nginx进行代理访问,所以通过查询资料,知道了解决问题方法,就是在nignx.conf文件进行修改。

在这里插入图片描述

二、解决方法

想法:因为提示Referer进行模拟请求头,所以我们直接不让他请求除了本机地址和百度之外的认识数据信息,这样其实我们就可以基本解决所有问题了。

解决方法:在nginx配置中写入以下文件

server {
        listen       80;
        server_name  localhost;
	    #server_name  www.xxx.com;
        client_max_body_size 1000M;

        #charset koi8-r;
	    charset utf-8;
        #### http_referer fix xxx.xxx.xxx.xxx:表示需要服务器的IP
        if ($http_Host !~* ^127.0.0.1$|^xxx.xxx.xxx.xxx$) {
            return   403;
        }
        #### http_referer fix xxx.xxx.xxx.xxx:表示需要服务器的IP
        valid_referers none blocked server_names xxx.xxx.xxx.xxx *.baidu.com;
        if ($invalid_referer) {
           return  403;
        }

        location / {
            rewrite ^(.*)$ https://xxx.xxx.xxx.xxx$1 permanent;
        }
   
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }       
    }
		

不懂的在评论我哈

评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

故里明月

感谢大大的打赏,俺会继续努力的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值