Nginx - 使用 ALLOW-FROM URI : unknown directive/invalid number of arguments in "add_header" directive 时出现 X-Frame-Options 错误

标签 nginx iframe server frames x-frame-options

操作系统: Ubuntu 14.04

Nginx: nginx 版本:nginx/1.4.6 (Ubuntu)

为了在浏览器端为框架提供基于点击劫持的安全性,X-Frame-Options标题选项可以通过 3 种不同的方式设置。

  • DENY
  • SAMEORIGIN
  • ALLOW-FROM <uri>

附言:https://www.owasp.org/index.php/Clickjacking_Defense_Cheat_Sheet (用于兼容性矩阵)和 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options (注意:不要将 Apache 与 Nginx 混合用于配置部分)。

我想在我的 Jenkins 机器上启用 frames/iframes(由 Log parser plugin 生成/提供)的显示,即在 Jenkins 作业的仪表板上。有关更多信息,您可以在此处查看一些背景信息:Jenkins Log parser plugin - parsed console log page is not showing Load denied by X-Frame-Options does not permit framing ERR_BLOCKED_BY_RESPONSE

为此,我需要确保以下几行出现在我的 jenkins https conf 文件的 NGINX 配置中/或者您可以将其注释掉。

add_header X-Frame-Options DENY;

评论此行,框架现在可以在您的浏览器中正常呈现,即在作业的仪表板上,但这样做会带来安全问题。

要实现第二个选项,请确保您删除/替换上面的行,或者确保以下行存在于您的 Jenkins https conf 的 NGINX 配置文件中。

add_header X-Frame-Options SAMEORIGIN;

现在,第三种方法采用 ALLOW-FROM https://_URI_value 这个词ALLOW-FROM 之前有/没有双引号开始并在 URL 部分之后结束。

这将告诉 NGINX 允许渲染来自给定 URI(在我的例子中是 JENKINS URL)的帧,所以我尝试了以下操作:

   #ALLOW-FROM https://my.company.jenkins.com/
   #add_header X-Frame-Options ALLOW-FROM https://my.company.jenkins.com/
   #add_header X-Frame-Options "ALLOW-FROM https://my.company.jenkins.com/"

如果我只启用第一行(如上面列出的第三种方法)并运行 sudo service nginx restart; sleep 1; tail -1 /var/log/nginx/error.log ,然后我得到以下输出/错误。

 * Restarting nginx nginx                                                                                                                               [fail]
2017/08/24 15:27:39 [emerg] 127120#0: unknown directive "ALLOW-FROM" in /etc/nginx/sites-enabled/jenkins_https.conf:23

如果我只启用第 2 行或第 3 行(如上面所列的第 3 种方法),那么第 2/3 行都会得到以下输出/错误。

 * Restarting nginx nginx                                                                                                                               [fail]
2017/08/24 15:29:49 [emerg] 127189#0: invalid number of arguments in "add_header" directive in /etc/nginx/sites-enabled/jenkins_https.conf:23

我怎样才能成功地在 nginx 配置文件中使用 ALLOW-FROM 语法,同时重新启动成功而没有上述故障,并且它允许来自给定 URI/URL 的框架/iframe 渲染?

附言: 使用 add_header X-Frame-Options SAMEORIGIN; ,我的问题已解决,但我主要是在寻找原因 ALLOW-FROM <URI/URL>语法不工作并给我上述错误消息。

最佳答案

上面接受的语法不起作用。

预期的语法是

add_header X-Frame-Options "allow-from https://my.example.com/";

在 nginx/1.11.9 和 nginx/1.15.9 版本上测试成功

关于Nginx - 使用 ALLOW-FROM URI : unknown directive/invalid number of arguments in "add_header" directive 时出现 X-Frame-Options 错误,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/45871974/

上一篇:telegram - 如何使用机器人读取来自 Telegram 组的消息?

下一篇:git - 向 .gitignore 添加新条目不起作用

相关文章:

c++ 和 fastcgi - 上游在读取来自上游的响应 header 时过早关闭 FastCGI stdout

javascript - 使用 React 在 iframe 上编辑 Css

python - 问 : How can I create dynamically an iframe inside a web content using Python?

node.js - NodeJs 服务器无法从互联网访问

php - 通过 nginx/php-fpm exec 调用时 npm 不运行

php - nginx 正在下载一些文件而不是执行它们

nginx - 仅当安装了模块时才在 nginx.conf 中应用指令(apache ifmodule 替代方案)

javascript - 为什么当我更改 .attr ['iframeName' 时 $(window ('src' ].document.body).html() 不起作用)

php - 更新 mysql 时区并更改所有 TIMESTAMPS 列

angularjs - 如何从本地主机中的node.js Restful api 使用我的 angular.js 文件获取数据

©2024 IT工具网  联系我们