Nginx เพิ่มการตั้งค่าสถานะความปลอดภัยให้กับคุกกี้จากเซิร์ฟเวอร์พร็อกซี

Mozilla เพิ่งเปิดตัวเครื่องมือใหม่เพื่อตรวจสอบการกำหนดค่าเว็บไซต์ของคุณ observatory.mozilla.org

แต่การสแกนกำลังบ่นเกี่ยวกับคุกกี้ (-10 คะแนน): คุกกี้เซสชันถูกตั้งค่าโดยไม่มีการตั้งค่าสถานะที่ปลอดภัย ...

น่าเสียดายที่บริการที่ทำงานอยู่หลัง nginx ของฉันสามารถตั้งค่าส่วนหัวที่ปลอดภัยได้หาก SSL ยุติลงที่นั่นโดยตรงและไม่ใช่เมื่อ SSL ยุติลงใน nginx ดังนั้นการตั้งค่าสถานะ "ปลอดภัย" จะไม่ถูกตั้งค่าบนคุกกี้

เป็นไปได้ไหมที่จะผนวกการตั้งค่าสถานะ "ปลอดภัย" กับคุกกี้โดยใช้ nginx? ดูเหมือนว่าการแก้ไขตำแหน่ง / เส้นทางจะเป็นไปได้

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path

ฉันรู้วิธีการเรียงลำดับสองวิธีนี้ไม่ดีเลย สิ่งแรกคือการละเมิด proxy_cookie_path แบบนี้:

proxy_cookie_path / "/; secure";

ที่สองคือการใช้คำสั่ง more_set_headers จาก โมดูลส่วนหัวเพิ่มเติมเช่นนี้:

more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure';

ทั้งสองสิ่งนี้สามารถแนะนำปัญหาได้เนื่องจากพวกเขาเพิ่มรายการแบบสุ่ม ตัวอย่างเช่นถ้า upstream ตั้งค่าสถานะความปลอดภัยคุณจะปิดท้ายการส่งไคลเอ็นต์ที่ซ้ำกันเช่นนี้:

Set-Cookie: foo=bar; secure; secure;

และในกรณีที่สองหากแอพอัปสตรีมไม่ได้ตั้งค่าคุกกี้ nginx จะส่งสิ่งนี้ไปยังเบราว์เซอร์:

Set-Cookie; secure;

แน่นอนว่าเป็นบวกสองเท่าแน่นอน

ฉันคิดว่าปัญหานี้ต้องได้รับการแก้ไขตามที่หลายคนถาม ในความคิดของฉันจำเป็นต้องมีคำสั่งเช่นนี้:

proxy_cookie_set_flags * HttpOnly;
proxy_cookie_set_flags authentication secure HttpOnly;

แต่อนิจจาตอนนี้ไม่มีอยู่ :(

พยายามที่จะใช้nginx_cookie_flag_module มันจะแก้ปัญหาของคุณ

คำเตือน:ฉันเป็นผู้เขียนของโมดูล