堆棧內存溢出
  簡體   English   中英

子域的內容安全策略 (csp) 問題,nginx 作為反向代理,node express 作為 backand

[英]content security policy (csp) issue for subdomain with nginx as reverse proxy and node express as backand

 原文  2019-08-29 09:14:09       node.js/ express/ http-headers/ content-security-policy/ nginx-reverse-proxy

問題描述

我有內容安全策略標頭的問題。 腳本和樣式被阻止。

看來 nginx 正在重載我的快遞標頭。

我嘗試了很多,我最后的狀態是這樣。

nginx 服務器塊

...
location / {
    proxy_pass http://127.0.0.1:3000;
    proxy_http_version 1.1;
    proxy_cache_bypass $http_upgrade;

    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header Host $host;
    proxy_set_header x-real-ip $remote_addr;
    proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host  $host;
    proxy_set_header X-Forwarded-Port  $server_port;
}
....

快速設置(域名更改為example.com)

const express = require('express');
const lusca = require('lusca');
const app = express();
...
app.use(lusca.xframe('SAMEORIGIN'));
app.use(lusca.xssProtection(true));
app.use(
  lusca.csp({
    policy: {
      "default-src": "'self' *.example.com",
      "img-src": "*"
    }
  })
);
...

在瀏覽器控制台中,我得到了這個:

content security policy the page’s settings blocked the loading of a resource at ("default-src")
content security policy the page’s settings blocked the loading of a resource at ("script-src")
content security policy the page’s settings blocked the loading of a resource at ("style-src")

在瀏覽器回答字段中(csp 是兩次!):

content-security-policy: default-src 'self' *.example.com; img-src *
content-security-policy: default-src 'none'; frame-ancestors 'none'; script-src 'self'; img-src 'self'; style-src 'self'; base-uri 'self'; form-action 'self';

有誰知道為什么這個配置不起作用? 或者如何告訴nginx使用express的標題並按住自己的?

1 個解決方案

解決方案1
 0 已采納  2020-03-17 12:49:07

我通過將proxy_pass_header添加到 nginx 服務器塊來解決它:

location / {
    proxy_pass http://127.0.0.1:3000;
    proxy_http_version 1.1;
    proxy_cache_bypass $http_upgrade;

    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection 'upgrade';
    proxy_set_header Host $host;
    proxy_set_header x-real-ip $remote_addr;
    proxy_set_header X-Forwarded-For   $proxy_add_x_forwarded_for;
    proxy_set_header X-Forwarded-Proto $scheme;
    proxy_set_header X-Forwarded-Host  $host;
    proxy_set_header X-Forwarded-Port  $server_port;

    // THIS DIRECTIVE SOLVED IT
    proxy_pass_header content-security-policy;
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 用於節點應用程序的Nginx反向代理子域 使用nginx作為節點應用程序的反向代理的子域問題 (NGINX) NodeJS 反向代理子域 Nginx 反向代理 - 配置子域 nginx 反向代理nodejs子域 內容安全策略問題節點 js 反應 nginx 反向代理 Angular Node app 混合內容 http 請求 內容安全策略(CSP)阻止評估方法調用 IIS 反向代理 - 2 個子域到 2 個 Node.js 在Express中處理重定向以支持Nginx反向代理
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM