全球主机交流论坛

标题: amh面板反代自身的问题 [打印本页]

---

作者: yonghu007    时间: 2025-3-9 10:19
标题: amh面板反代自身的问题
登录成功页面显示不正常


反代设置如下：


反代成功，登录后显示不正常，edge、Chrome浏览器都显示不正常，是哪里设置错了吗@ Amysql

@Amysql

---

作者: ceplavia    时间: 2025-3-9 10:35
你不能自己看一眼nginx的error.log吗

---

作者: yonghu007    时间: 2025-3-9 10:49

ceplavia 发表于 2025-3-9 10:35
你不能自己看一眼nginx的error.log吗

我菜鸡一个，我这就去看看

---

作者: yonghu007    时间: 2025-3-9 10:57

ceplavia 发表于 2025-3-9 10:35
你不能自己看一眼nginx的error.log吗

看了，但是没发现问题

---

作者: mmshow    时间: 2025-3-9 12:18
删除缓存文件都行咯，过几天又会出现这个问题，最关键，核心问题，用这面板反代容易被插，劫持后狠难受，安全系数太低了，就用个反代其他配置各种设置好，自我认为设置好了，无懈可击，

---

作者: mmshow    时间: 2025-3-9 12:20
其实，一切都是自我认为，奈何高手如云啊，别人就是能黑掉AMH面板环境，

---

作者: Amysql    时间: 2025-3-9 13:34
这看是js或是css加载的问题，与其它的什么安全没关系的，在浏览器调试看网络加载情况，
确认js\css网址正确否，是否都能正常访问。

如果是缓存问题，可以直接在lngx主机列表关掉Cache项。

---

作者: yonghu007    时间: 2025-3-9 13:38

mmshow 发表于 2025-3-9 12:18
删除缓存文件都行咯，过几天又会出现这个问题，最关键，核心问题，用这面板反代容易被插，劫持后狠难受，安 ...

这么要紧吗，我就看上这个面板有各种流量监控（流量防护模块）

---

作者: yonghu007    时间: 2025-3-9 17:56

Amysql 发表于 2025-3-9 13:34
这看是js或是css加载的问题，与其它的什么安全没关系的，在浏览器调试看网络加载情况，
确认js\css网址正确 ...

看不懂了，尝试过关闭了CSRF防范，关闭了cashe，清除缓冲，还是显示不正常

---

作者: Amysql    时间: 2025-3-9 19:05

yonghu007 发表于 2025-3-9 17:56
看不懂了，尝试过关闭了CSRF防范，关闭了cashe，清除缓冲，还是显示不正常 ...

就是无法加载js与css的问题。
你用的https访问，源站请求的是http，源站源码有http://链接的js、css会被浏览器限制。

可以尝试lngx主机『内容』项中替换掉 http://xxx 为你相应的网址 https://xxx
或试http访问。


要用域名访问面板，也建议直接用域名加端口访问，
在证书管理也可以设置面板自身关联某个网站的证书（能与网站证书同步，不需维护面板自身证书）
可以https://域名:8888访问面板。

---

作者: 伊吹風子    时间: 2025-3-9 19:47
反代https，如果用https反代http自身会有这个bug。

---

作者: yonghu007    时间: 2025-3-9 21:41

Amysql 发表于 2025-3-9 19:05
就是无法加载js与css的问题。
你用的https访问，源站请求的是http，源站源码有http://链接的js、css会被 ...

可以了，感谢

---

作者: mmshow    时间: 2025-3-10 19:06

mmshow 发表于 2025-3-9 12:20
其实，一切都是自我认为，奈何高手如云啊，别人就是能黑掉AMH面板环境，

AMH安全这块需要向BT学习，源站确认100%没问题滴，我的配置思路经得起小嘿，不想跟你争辩什么，AMH程序肯定有未知漏洞，建议在安全方面多下功夫，切换到宝塔一切都平平安安。做站第一要素保护好源站。

---

作者: Amysql    时间: 2025-3-11 13:49

伊吹風子 发表于 2025-3-9 19:47
反代https，如果用https反代http自身会有这个bug。

不是bug原因，https的站点浏览器会限制加载http资源的，
一般替换掉源码http的网址为https就好。

---

作者: Amysql    时间: 2025-3-11 13:52

mmshow 发表于 2025-3-10 19:06
AMH安全这块需要向BT学习，源站确认100%没问题滴，我的配置思路经得起小嘿，不想跟你争辩什么，AMH程序肯 ...

反代被插内容是什么原因这个都不用说的，amh反代环境就独立的纯nginx静态环境，
源站是什么就代理什么的，到你这就变成"黑掉AMH面板环境"了

提到另一面板安全方面如何也不用多说吧，出过多多少少安全事故了，你还代言宣传上了。

---

作者: haodaxian123    时间: 2025-3-11 18:40
AMH反代是没什么问题的，已经试了好几个了，别黑了。

---

作者: yonghu007    时间: 2025-3-12 09:07

Amysql 发表于 2025-3-11 13:49
不是bug原因，https的站点浏览器会限制加载http资源的，
一般替换掉源码http的网址为https就好。 ...

哥，根据ai给的防止源ip泄露，反代要在nginx配置文件添加：# 增加安全相关头信息
add_header X-Frame-Options "SAMEORIGIN";
add_header X-XSS-Protection "1; mode=block";
add_header X-Content-Type-Options "nosniff";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
请问你们面板咋操作，因为我的目的就是为了防止源站ip泄露

---

作者: Amysql    时间: 2025-3-16 14:45

yonghu007 发表于 2025-3-12 09:07
哥，根据ai给的防止源ip泄露，反代要在nginx配置文件添加：# 增加安全相关头信息
add_header X-Frame-Opt ...

这些头信息跟伪静态一样，可以在lngx主机的『URL规则』中添加。
加这些没起到多少保护源ip作用的。

防ip泄露，网站源码没泄露前提，另注意源站中发出的请求没泄露就好，
如在源站发起的请求api、或其它应用等，
比较典型的就是smtp连接。

---

作者: yonghu007    时间: 2025-3-23 09:15

Amysql 发表于 2025-3-16 14:45
这些头信息跟伪静态一样，可以在lngx主机的『URL规则』中添加。
加这些没起到多少保护源ip作用的。

好的，感谢

---

欢迎光临 全球主机交流论坛 (https://fd.vvwvv.eu.org/)

Powered by Discuz! X3.4