问题:GET请求访问漏洞url即可看到泄露的内网ip
解决方式:
1.配置nginx 不显示真实Ip
2.限制接口只能是POST请求
具体配置:
编写一个403.html
在nginx的配置文件中,配置location参数:
location /api/validationCode {
if ($request_method = GET) {
return 403;
error_page 403 /opt/post/nginx/403.html;
}
proxy_set_header SourceSysKey 54843654545486;
proxy_pass http://gateway/api/validationCode ; //转发路径
proxy_hide_header localhostport;
proxy_hide_header Server;
proxy_hide_header X-Powered-By;
}
proxy_hide_header 是 Nginx 的一个指令,用于在反向代理场景中隐藏或删除后端服务器返回的某些响应头字段。以下是关于该指令的详细信息:
作用
-
当 Nginx 作为反向代理服务器时,
proxy_hide_header可以阻止某些响应头字段从后端服务器传递到客户端。 -
常用于隐藏敏感信息(如后端服务器的技术栈信息)或避免某些响应头字段对客户端造成影响
-
通过合理使用
proxy_hide_header,可以有效增强服务器的安全性和响应的灵活性
