Перейти к содержанию

Добавление и замена заголовков в ответе на запросы

С помощью правила Добавить или заменить заголовок в ответе сервера вы можете изменять заголовки, которые отправляет ваш сервер в ответах на входящие запросы.

Чаще всего этот тип правила используется, чтобы настроить дополнительную защиту приложения от атак. Например:

  • Добавить в ответы заголовок Content-Security-Policy. Заголовок позволяет ограничить источники, из которых клиент может загружать данные. Подобное ограничение позволяет защитить приложение от таких атак, как XSS.

    Если ваше приложение не возвращает заголовок Content-Security-Policy, мы рекомендуем настроить правило Добавить или заменить заголовок в ответе сервера для добавления этого заголовка в ответы. Возможные значения заголовка и примеры использования описаны в MDN Web Docs.

    Аналогичным образом вы можете добавить в ответ заголовки X-XSS-Protection, X-Frame-Options, X-Content-Type-Options.

  • Изменить заголовок NGINX Server или любой другой заголовок, в котором возвращаются версии модулей, установленных на сервере. Используя данные о версиях установленных модулей, злоумышленник может изучить уязвимости, обнаруженные в определенной версии, и попытаться их проэксплуатировать.

    Изменение заголовка NGINX Server доступно с версии ноды 2.16.

Также, вы можете использовать этот тип правила для решения собственных задач.

Создание и применение правила

Чтобы создать и применить правило:

  1. Создайте правило Добавить или заменить заголовок в ответе сервера в секции Правила в Консоли управления Валарм.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Название заголовка, который необходимо добавить или у которого необходимо заменить значение.
    • Значение заголовка, который необходимо добавить / новое значение существующего заголовка.

      Чтобы удалить заголовок из ответа на запрос, на вкладке Заменить в значении этого заголовка укажите пробел.

  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Чтобы ограничить источники контента только исходным сервером, вы можете добавить в ответы заголовок Content-Security-Policy: default-src 'self'.

Например, для запросов к https://example.com/* правило будет выглядеть следующим образом:

Пример правила "Добавить или заменить заголовок в ответе сервера"