Nginx配置origin限制CORS跨域漏洞(应对等保渗透)

        线上系统在等保测评的时候被扫出来了CORS跨域问题，但是根据网上大多数人用的方法之后，发现，还是能被扫出来问题，被这个问题困扰了很久，才找到了问题的解决方案，亲测有效！！！

1、问题扫描报告

2、百度推荐使用最多的方案（复测还有）

        解决思路其实很简单：通过Nginx配置请求头，拦截掉非法的Origin请求方式。

        网上最多的建议：

        在Nginx中配置，单纯的加 “add_header Access-Control-Allow-Origin” 是没有丝毫作用的，加上之后还是能被扫到这个漏洞，如下代码段：

location / {add_header Access-Control-Allow-Origin *.xxx.com;add_header Access-Control-Allow-Headers "Origin， X-Requested-With, Content-Type, Accept";add_header Access-Control-Allow-Methods "GET, POST, OPTIONS";
}

3、有效解决方案总结

（1）http下配置 map指令 （这个可以）

        1）在http中定义一个通过map指令，定义跨域规则并返回是否合法

http {...# 说明：一般使用http_origin来进行跨域控制，当不传递origin头的时候，就为这个里面的默认值，当传递有值得时候，才会走下面得正则匹配map $http_origin $allow_cors {default 1;#以下为提供参考的正则表达式"~^https?://.*?\.theorydance\.com.*$" 1;"~^(https?://(dmp.xxxxxx.cn)?)$" 1;"~http://www.diuut.com" 1;"~*" 0;}server {location / {if ($allow_cors = 0){return 403;}root /data/deploy;}}
}

上述规则中，
a.当不传递origin头的时候，就为这个里面的默认值为1，
b.如果orgin的值为https://dmp.xxxxxx.cn或者含“theorydance”的，我们认为是合法的请求，返回数值1，如果是其它值，返回数值0

        2）在server中根据$allow_cros的值进行请求拦截

if ($allow_cros = 0){return 403;
}

        3）在server中添加头部

#指定允许其他域名访问        
add_header Access-Control-Allow-Origin $http_origin;
#允许的请求类型
add_header Access-Control-Allow-Methods GET,POST,OPTIONS;
#许的请求头字段
add_header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept";

验证：

1、不指定 origin时，请求正常

2、指定合法 origin时，请求正常 

3、指定非法origin时，请求返回403 

 (2) server下配置 （这个感觉没有什么作用）

server {
set $cors_origin "";  
if ($http_origin ~* "^http://19.142.15.54$") {  set $cors_origin $http_origin?;  
}  add_header Access-Control-Allow-Origin $cors_origin;listen       9101;
server_name  localhost;location / {root   /usr/share/nginx/html/gzt/;index  index.html index.htm;add_header Access-Control-Allow-Origin $cors_origin;}
}

(3) 方法三：server下配置 （这个可以）

        Nginx if语法不支持if条件的逻辑与&&逻辑或|| 运算 ，而且不支持if的嵌套语法。需要借助变量来实现嵌套语法或多条件判断：

server {listen       9101;server_name  localhost;#如果存在Origin头且Origin头不匹配指定的IP地址模式，那么返回403错误。set $flag 0;#Origin有值的情况下。flag为01if ($http_origin) {set $flag "${flag}1";}#Origin有值且不符合以下判断，flag为012if ($http_origin !~ "19.166.2.54.*") {set $flag "${flag}2";}    if ($flag = "012") {return 403;}
}

****注释****

首先，根据给出的Nginx配置代码，我们来分析各部分的逻辑：
$flag 初始值为0。
如果 $http_origin 有值，则 $flag 加上 “1”。
如果 $http_origin 的值不匹配正则表达式 “19.166.2.54.*”，则 $flag 加上 “2”。
最后，如果 $flag 的值为 “012”，则返回403。