Mozilla刚刚发布了一个新工具,用于检查您的网站配置。observatory.mozilla.org
但是该扫描抱怨Cookie(-10分):会话Cookie设置为没有安全标志...
不幸的是,在我的nginx后面运行的服务只能在SSL直接在此处终止的情况下设置安全标头,而不能在SSL在nginx上终止时设置安全标头。因此,未在cookie上设置“安全”标志。
是否可以使用nginx将“安全”标志附加到cookie?修改位置/路径似乎是可能的。
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path
Answers:
我知道有两种方法可以做到这一点,但都不是很好。首先是像这样滥用proxy_cookie_path:
proxy_cookie_path / "/; secure";
第二个方法是使用Headers More 模块中的more_set_headers指令,如下所示:
more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure';
由于它们会盲目添加项目,因此两者都会带来问题。例如,如果上游设置了安全标志,您将结束向客户端发送重复的消息,如下所示:
Set-Cookie: foo=bar; secure; secure;
在第二种情况下,如果上游应用程序未设置cookie,nginx会将其发送到浏览器:
Set-Cookie; secure;
当然,这是doubleplusungood。
我认为这个问题需要解决,因为很多人都在问这个问题。我认为需要这样的指令:
proxy_cookie_set_flags * HttpOnly;
proxy_cookie_set_flags authentication secure HttpOnly;
但是a,这目前不存在:(
尝试使用nginx_cookie_flag_module。它将解决您的问题。
免责声明:我是该模块的作者。