如何在Nginx中实现HTTPOnly和安全Cookie?

你们其中一个问。

如何在Nginx中实现HTTPOnly和安全Cookie?2

我喜欢反馈!它给了我写些什么的想法。

之前, 我解释了如何使用HTTPOnly和Secure标志配置Apache HTTP服务器, 在本文中, 我将讨论在Nginx Web服务器上执行相同的操作。

在HTTP响应标头中包含HTTPOnly和Secure可以帮助保护你的Web应用程序免受跨站点脚本和会话操纵攻击。

有多种方法进行配置。

  • 在开发人员的应用程序代码中
  • 从网络边缘F5注入标头
  • 在Web服务器上配置

Nginx Web服务器中有两种方法可以实现此目的。

通过使用” nginx_cookie_flag_module”模块

Anton Saraykin的一个名为Nginx_cookie_flag的Nginx模块使你可以在Set-Cookie HTTP响应标头中快速将cookie标志设置为HTTPOnly和Secure。

需要记住的一件事是, 你需要通过添加模块从源代码构建Nginx。

例如:

--add-module=/path/to/nginx_cookie_flag_module

一旦使用上述模块构建了Nginx, 就可以在相应的配置文件中的location或server指令中添加以下行

set_cookie_flag HttpOnly secure;

重新启动Nginx以验证结果

通过使用proxy_cookie_path

另一个替代方法是在ssl.conf或default.conf中添加以下语法

proxy_cookie_path / "/; HTTPOnly; Secure";

重新启动Nginx以查看结果

验证

如果你要测试基于Intranet的站点, 则可以使用Chrome中的”开发人员工具”检查请求标头。但是, 对于面向Internet的用户, 可以使用在线HTTP响应标头检查器工具。

我希望这有助于保护和加固Nginx Web服务器。

微信公众号
手机浏览(小程序)
0
分享到:
没有账号? 忘记密码?