个人中心
gpt4 book ai didi

Nginx - 使用 ALLOW-FROM URI : unknown directive/invalid number of arguments in "add_header" directive 时出现 X-Frame-Options 错误

转载 作者:行者123 更新时间:2023-12-05 01:18:26 28 4
gpt4 key购买 nike

操作系统: Ubuntu 14.04

Nginx: nginx 版本:nginx/1.4.6 (Ubuntu)

为了在浏览器端为框架提供基于点击劫持的安全性,X-Frame-Options标题选项可以通过 3 种不同的方式设置。

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM <uri>

附言:https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet (用于兼容性矩阵)和 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options (注意:不要将 Apache 与 Nginx 混合用于配置部分)。

我想在我的 Jenkins 机器上启用 frames/iframes(由 Log parser plugin 生成/提供)的显示,即在 Jenkins 作业的仪表板上。有关更多信息,您可以在此处查看一些背景信息:Jenkins Log parser plugin - parsed console log page is not showing Load denied by X-Frame-Options does not permit framing ERR_BLOCKED_BY_RESPONSE

为此,我需要确保以下几行出现在我的 jenkins https conf 文件的 NGINX 配置中/或者您可以将其注释掉。

add_header X-Frame-Options DENY;

评论此行,框架现在可以在您的浏览器中正常呈现,即在作业的仪表板上,但这样做会带来安全问题。

要实现第二个选项,请确保您删除/替换上面的行,或者确保以下行存在于您的 Jenkins https conf 的 NGINX 配置文件中。

add_header X-Frame-Options SAMEORIGIN;

现在,第三种方法采用 ALLOW-FROM https://_URI_value 这个词ALLOW-FROM 之前有/没有双引号开始并在 URL 部分之后结束。

这将告诉 NGINX 允许渲染来自给定 URI(在我的例子中是 JENKINS URL)的帧,所以我尝试了以下操作:

   #ALLOW-FROM https://my.company.jenkins.com/
   #add_header X-Frame-Options ALLOW-FROM https://my.company.jenkins.com/
   #add_header X-Frame-Options "ALLOW-FROM https://my.company.jenkins.com/"

如果我只启用第一行(如上面列出的第三种方法)并运行 sudo service nginx restart; sleep 1; tail -1 /var/log/nginx/error.log ,然后我得到以下输出/错误。

 * Restarting nginx nginx                                                                                                                               [fail]
2017/08/24 15:27:39 [emerg] 127120#0: unknown directive "ALLOW-FROM" in /etc/nginx/sites-enabled/jenkins_https.conf:23

如果我只启用第 2 行或第 3 行(如上面所列的第 3 种方法),那么第 2/3 行都会得到以下输出/错误。

 * Restarting nginx nginx                                                                                                                               [fail]
2017/08/24 15:29:49 [emerg] 127189#0: invalid number of arguments in "add_header" directive in /etc/nginx/sites-enabled/jenkins_https.conf:23

我怎样才能成功地在 nginx 配置文件中使用 ALLOW-FROM 语法,同时重新启动成功而没有上述故障,并且它允许来自给定 URI/URL 的框架/iframe 渲染?

附言:使用 add_header X-Frame-Options SAMEORIGIN; ,我的问题已解决,但我主要是在寻找原因 ALLOW-FROM <URI/URL>语法不工作并给我上述错误消息。

最佳答案

上面接受的语法不起作用。

预期的语法是

add_header X-Frame-Options "allow-from https://my.example.com/";

在 nginx/1.11.9 和 nginx/1.15.9 版本上测试成功

关于Nginx - 使用 ALLOW-FROM URI : unknown directive/invalid number of arguments in "add_header" directive 时出现 X-Frame-Options 错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45871974/

28 4 0
文章推荐: git - 向 .gitignore 添加新条目不起作用
文章推荐: embed - 使 Spotify 嵌入响应
文章推荐: apache - Jasper JSP Engine JAR 文件的官方来源
文章推荐: telegram - 如何使用机器人读取来自 Telegram 组的消息?
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com