Перейти к содержанию

Добавление и замена заголовков в ответе на запросы

С помощью правила Изменить заголовки в ответах сервера вы можете изменять заголовки, которые отправляет ваш сервер в ответах на входящие запросы.

Чаще всего этот тип правила используется, чтобы настроить дополнительную защиту приложения от атак. Например:

  • Добавить в ответы заголовок Content-Security-Policy. Заголовок позволяет ограничить источники, из которых клиент может загружать данные. Подобное ограничение позволяет защитить приложение от таких атак, как XSS.

    Если ваше приложение не возвращает заголовок Content-Security-Policy, мы рекомендуем настроить правило Изменить заголовки в ответах сервера для добавления этого заголовка в ответы. Возможные значения заголовка и примеры использования описаны в MDN Web Docs.

    Аналогичным образом вы можете добавить в ответ заголовки X-XSS-Protection, X-Frame-Options, X-Content-Type-Options.

  • Изменить заголовок NGINX Server или любой другой заголовок, в котором возвращаются версии модулей, установленных на сервере. Используя данные о версиях установленных модулей, злоумышленник может изучить уязвимости, обнаруженные в определенной версии, и попытаться их проэксплуатировать.

    Изменение заголовка NGINX Server доступно с версии ноды 2.16.

Также, вы можете использовать этот тип правила для решения собственных задач.

Создание и применение правила

Вы можете создать и применить правило как в секции События в Консоли управления, так и в секции Правила:

  • В секции События правила создаются с предзаполненным описанием приложения или части приложения, к которой они применяются. Описание соответствует запросу, рядом с которым вы нажали кнопку Правило при анализе запроса.

    Чтобы завершить создание правила, достаточно настроить тип действия правила и убедиться, что все части правила описаны корректно.

  • В секции Правила все части правила необходимо заполнить вручную.

Чтобы создать и применить правило в секции Правила:

  1. Создайте правило Изменить заголовки в ответах сервера в секции Правила в Консоли управления Вебмониторэкс.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Название заголовка, который необходимо добавить или у которого необходимо заменить значение.

    • Значение заголовка, который необходимо добавить / новое значение существующего заголовка.

      Чтобы удалить заголовок из ответа на запрос, на вкладке Заменить в значении этого заголовка укажите пустое значение.

  2. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Чтобы ограничить источники контента только исходным сервером, вы можете добавить в ответы заголовок Content-Security-Policy: default-src 'self'.

Например, для запросов к https://example.com/* правило будет выглядеть следующим образом:

Пример правила "Изменить заголовки в ответах сервера"