Forum » Izdelava spletišč » Nginx ne pošlje vseh HTTP headerjev
Nginx ne pošlje vseh HTTP headerjev
poweroff ::
Postavil sem Nginx spletni strežnik, kjer v config datoteki pošljem določene HTTP headerje:
No, client dobi samo Strict-Transport-Security header, ostalih pa ne.
Kakšna ideja zakaj?
add_header X-Xss-Protection "1; mode=block" always;
add_header X-Frame-Options "SAMEORIGIN" always;
server {
listen 80;
server_name tralala;
...
...
}
server {
listen 443 default_server ssl http2;
server_name tralala;
ssl on;
...
...
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
...
...
}
No, client dobi samo Strict-Transport-Security header, ostalih pa ne.
Kakšna ideja zakaj?
sudo poweroff
JamesBond ::
Če bi pogledal v dokumentacijo kako se uporablja direktivo ne bi rabil spraševat (pa tudi drugače je očitno). Se pravi se headerji ne dedujejo v server bloku, ker imaš tam tudi add_header.
Syntax: add_header name value [always];
Default: --
Context: http, server, location, if in location
Adds the specified field to a response header provided that the response code equals 200, 201, 204, 206, 301, 302, 303, 304, 307, or 308. The value can contain variables.
There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.
Syntax: add_header name value [always];
Default: --
Context: http, server, location, if in location
Adds the specified field to a response header provided that the response code equals 200, 201, 204, 206, 301, 302, 303, 304, 307, or 308. The value can contain variables.
There could be several add_header directives. These directives are inherited from the previous level if and only if there are no add_header directives defined on the current level.
SeMiNeSanja ::
Katerikoli klient?
Direktno povezan klient ali kakšen remote klient na drugi lokaciji?
Headerje lahko režejo požarne pregrade (jaz pomečem ven večino, ki niso nujno potrebni za delovanje), lahko pa to počne tudi kakšen AV proizvod na računalniku (v tem primeru bolj težko nadziraš, kaj se bo rezalo).
Si mogoče preveril z Wireshark-om ali čem podobnim, če ti headerji dejansko gredo ven? Toliko, da izključiš morebitne težave na samem serverju.
Očitno je le problem serverja, če drži, kar pravi JB....
Direktno povezan klient ali kakšen remote klient na drugi lokaciji?
Headerje lahko režejo požarne pregrade (jaz pomečem ven večino, ki niso nujno potrebni za delovanje), lahko pa to počne tudi kakšen AV proizvod na računalniku (v tem primeru bolj težko nadziraš, kaj se bo rezalo).
Si mogoče preveril z Wireshark-om ali čem podobnim, če ti headerji dejansko gredo ven? Toliko, da izključiš morebitne težave na samem serverju.
Očitno je le problem serverja, če drži, kar pravi JB....
Zgodovina sprememb…
- spremenilo: SeMiNeSanja ()
poweroff ::
Če bi pogledal v dokumentacijo kako se uporablja direktivo ne bi rabil spraševat (pa tudi drugače je očitno). Se pravi se headerji ne dedujejo v server bloku, ker imaš tam tudi add_header.
Ne razumem kaj moram narediti.
Jih imeti samo v server bloku?
Ja, ugotovil. V istem bloku morajo biti.
sudo poweroff
Zgodovina sprememb…
- spremenilo: poweroff ()
BaRtMaN ::
Uporaba direktive add_header v podrejenem (nižjem, notranjem) kontekstu izniči efekt iz nadrejenega konteksta. Efektivno moraš vedno na enem mestu dodati vse headerje, ki jih želiš.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Javascript DOM based XSS vulnerabilityOddelek: Programiranje | 2841 (2263) | MrStein |
| » | Inline JS v HTML; varnost, XSS, ...Oddelek: Programiranje | 1780 (1388) | MrStein |
| » | Content-Security-Policy problemOddelek: Izdelava spletišč | 1516 (1333) | poweroff |
| » | nginx proxy pokvari delovanje joomla straniOddelek: Izdelava spletišč | 1003 (948) | Lonsarg |
| » | Apache - localhost JA, IP naslov NEOddelek: Omrežja in internet | 6603 (6462) | ManDriver |