Amalan penulisan dasar Nginx: mencegah serangan XSS

Dengan pembangunan teknologi Web yang berterusan, isu keselamatan menjadi semakin penting, antaranya serangan XSS amat biasa. Penyerang menyuntik kod ke dalam tapak web supaya pengguna akan diserang semasa menyemak imbas tapak web, sekali gus membocorkan privasi peribadi atau menjalankan penipuan pancingan data. Oleh itu, dalam pembangunan web moden, mencegah serangan XSS telah menjadi keperluan asas.

Untuk mengelakkan serangan XSS, kita perlu menulis beberapa dasar untuk membimbing kerja pelayan Nginx. Dasar ini boleh termasuk pemeriksaan input, pemeriksaan output, penapisan kuki, dsb. Berikut akan dijelaskan dengan contoh.

1. Semakan input

Semakan input merujuk kepada menyemak input data oleh pengguna, termasuk sama ada jenis parameter adalah betul, penapisan aksara khas, dsb. Untuk Nginx, semakan input boleh dilaksanakan menggunakan gabungan skrip Lua dan ungkapan biasa. Berikut ialah contoh:

location / {
    access_by_lua_block {
        local args = ngx.req.get_uri_args()
        for key, val in pairs(args) do
            if type(val) == "table" then
                for k,v in pairs(val) do
                    if string.match(v, "%W") then
                        ngx.exit(ngx.HTTP_FORBIDDEN)
                    end
                end
            else
                if string.match(val, "%W") then
                    ngx.exit(ngx.HTTP_FORBIDDEN)
                end
            end
        end
    }
}

Dalam kod di atas, kami memperoleh parameter yang diluluskan oleh pengguna melalui kaedah GET melalui skrip Lua dan menggunakan ungkapan biasa untuk menentukan sama ada parameter mengandungi aksara khas. Jika aksara khas hadir, halaman ralat 403 dikembalikan.

2. Semakan Output

Semakan output merujuk kepada menyemak kandungan output program bahagian belakang, termasuk sama ada teg, atribut, Javascript dan kandungan lain adalah selamat. Untuk Nginx, arahan sub_filter dalam modul NGX_LUA boleh digunakan untuk melaksanakan semakan output. Berikut ialah contoh:

location / {
    proxy_pass http://backend;
    sub_filter_types application/json;
    sub_filter 'bad-word' 'good-word';
    sub_filter_last_modified on;
    sub_filter_once off;
}

Dalam kod di atas, kami mendayakan arahan sub_filter untuk menyemak data JSON yang dikembalikan oleh program hujung belakang. Jika data yang dikembalikan oleh program backend mengandungi "bad-word", gantikannya dengan "good-word".

3. Penapisan kuki

Penapisan kuki merujuk kepada menyemak kuki yang ditetapkan oleh pengguna untuk memastikan keselamatannya. Untuk Nginx, skrip Lua boleh digunakan untuk melaksanakan penapisan kuki. Berikut ialah contoh:

location / {
    access_by_lua_block {
        local h = ngx.req.get_headers()
        local ck = h.cookie
        if ck ~= nil then
            if string.match(ck, "%W") then
                ngx.exit(ngx.HTTP_FORBIDDEN)
            end
        end
    }
}

Dalam kod di atas, kami menggunakan skrip Lua untuk mendapatkan set kuki dalam pengepala permintaan HTTP dan menggunakan ungkapan biasa untuk menentukan sama ada kuki itu mengandungi aksara khas. Jika aksara khas hadir, halaman ralat 403 dikembalikan.

Di atas ialah amalan penulisan dasar Nginx untuk mencegah serangan XSS. Sudah tentu, terdapat banyak aspek lain yang perlu dipertimbangkan dalam aplikasi praktikal, seperti keselamatan pengepala HTTP, pertahanan terhadap suntikan SQL, dsb. Oleh itu, semasa proses pembangunan, konfigurasi yang disasarkan perlu dibuat mengikut situasi sebenar untuk meningkatkan keselamatan aplikasi web.

Atas ialah kandungan terperinci Amalan penulisan dasar Nginx: mencegah serangan XSS. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!