xss_check_status
指令 `xss_check_status` 控制基于 HTTP 状态码的响应处理,以在 NGINX 中实现跨站脚本防护。
Native cross-site scripting support in NGINX
·
httpserverlocationif in location
语法xss_check_status on | off;
默认值on
上下文http, server, location, if in location
参数flag
说明
xss_check_status 指令(属于 NGINX xss-nginx-module)允许管理员指定模块是否应检查响应的 HTTP 状态码。默认情况下,模块仅处理状态码为 200 或 201 的响应,这表示请求成功。这一行为通过确保仅对有效且预期的响应进行 JSONP 支持处理来增强安全性,从而防止潜在的跨站脚本攻击。如果将该指令设置为 'off',模块将不再将处理限制为仅成功状态,这可能导致端点把非期望的响应当作有效响应进行处理。该指令接受一个布尔标志作为参数,即 'on' 或 'off',并可在多种 NGINX 上下文中使用,例如 http、server、location,或 location 块内的 'if'。
配置示例
location /example {
xss_get on;
xss_check_status on;
}⚠
将 xss_check_status 设置为 'off' 可能允许处理不期望的 HTTP 响应状态,从而可能增加遭受 XSS 攻击的风险。
⚠
未正确配置此指令可能导致响应处理出现意外行为,特别是在安全敏感的应用程序中。