OS:Ubuntu 14.04
Nginx: nginx版本: nginx/1.4.6 (Ubuntu(
为了在浏览器端为帧提供基于点击劫持的安全性,可以通过 3 种不同的方式设置X-Frame-Options
标题选项。
DENY
SAMEORIGIN
ALLOW-FROM <uri>
PS:https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet(用于兼容性矩阵(和 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options(注意:不要将Apache与Nginx混合用于配置部分(。
我想在我的 Jenkins 机器上(即在 Jenkins 作业的仪表板上(上启用帧/iframe(由日志解析器插件生成/提供(的显示。有关更多信息,您可以在此处查看一些背景信息: Jenkins 日志解析器插件 - 解析的控制台日志页面未显示 X-Frame-Options 拒绝加载不允许成帧ERR_BLOCKED_BY_RESPONSE
为此,我需要确保以下行不会出现在我的 jenkins https conf 文件的 NGINX 配置中/或者您可以推荐它。
add_header X-Frame-Options DENY;
注释此行,框架现在将在浏览器中(即在作业的仪表板上(呈现正常,但这样做会带来安全问题。
要实现第二个选项,请确保删除/替换上述行,或者确保以下行存在于 Jenkins https conf 的 NGINX 配置文件中。
add_header X-Frame-Options SAMEORIGIN;
现在,第 3 种方法采用单词ALLOW-FROM https://_URI_value,其中/不带双引号,从ALLOW-FROM
部分开始,在 URL 部分之后结束。
这将告诉 NGINX 允许渲染来自给定 URI(在我的例子中为 Jenkins URL(的帧,所以我尝试了以下内容:
#ALLOW-FROM https://my.company.jenkins.com/
#add_header X-Frame-Options ALLOW-FROM https://my.company.jenkins.com/
#add_header X-Frame-Options "ALLOW-FROM https://my.company.jenkins.com/"
如果我只启用第一行(如上面列出的第 3 种方法(并运行sudo service nginx restart; sleep 1; tail -1 /var/log/nginx/error.log
,那么我会收到以下输出/错误。
* Restarting nginx nginx [fail]
2017/08/24 15:27:39 [emerg] 127120#0: unknown directive "ALLOW-FROM" in /etc/nginx/sites-enabled/jenkins_https.conf:23
如果我只启用第 2 行或第 3 行(如上面列出的第 3 行方法(,那么我将为第 2/3 行收到以下输出/错误。
* Restarting nginx nginx [fail]
2017/08/24 15:29:49 [emerg] 127189#0: invalid number of arguments in "add_header" directive in /etc/nginx/sites-enabled/jenkins_https.conf:23
我怎样才能成功地在 nginx 配置文件中使用 ALLOW-FROM 语法,同时重新启动成功而没有上述失败,并且它允许来自给定 URI/URL 的帧/iframe 渲染?
附注:使用add_header X-Frame-Options SAMEORIGIN;
,我的问题已解决,但我主要是寻找为什么ALLOW-FROM <URI/URL>
语法不起作用并给我上述错误消息。
上面接受的语法不起作用。
预期的语法是
add_header X-Frame-Options "allow-from https://my.example.com/";
在 nginx/1.11.9 和 nginx/1.15.9 版本上成功测试
您可能已经弄清楚了这一点,但只是为了后代: 要在add_header中指定 allow-from,请使用以下语法:
add_header "allow-from https://my.example.com/";