你们其中一个问。
我喜欢反馈!它给了我写些什么的想法。
之前, 我解释了如何使用HTTPOnly和Secure标志配置Apache HTTP服务器, 在本文中, 我将讨论在Nginx Web服务器上执行相同的操作。
在HTTP响应标头中包含HTTPOnly和Secure可以帮助保护你的Web应用程序免受跨站点脚本和会话操纵攻击。
有多种方法进行配置。
- 在开发人员的应用程序代码中
- 从网络边缘F5注入标头
- 在Web服务器上配置
Nginx Web服务器中有两种方法可以实现此目的。
通过使用” nginx_cookie_flag_module”模块
Anton Saraykin的一个名为Nginx_cookie_flag的Nginx模块使你可以在Set-Cookie HTTP响应标头中快速将cookie标志设置为HTTPOnly和Secure。
需要记住的一件事是, 你需要通过添加模块从源代码构建Nginx。
例如:
--add-module=/path/to/nginx_cookie_flag_module
一旦使用上述模块构建了Nginx, 就可以在相应的配置文件中的location或server指令中添加以下行
set_cookie_flag HttpOnly secure;
重新启动Nginx以验证结果
通过使用proxy_cookie_path
另一个替代方法是在ssl.conf或default.conf中添加以下语法
proxy_cookie_path / "/; HTTPOnly; Secure";
重新启动Nginx以查看结果
验证
如果你要测试基于Intranet的站点, 则可以使用Chrome中的”开发人员工具”检查请求标头。但是, 对于面向Internet的用户, 可以使用在线HTTP响应标头检查器工具。
我希望这有助于保护和加固Nginx Web服务器。