mod-security只允许一个set-cookie

Question

有没有人遇到过mod-security通过代理请求响应只允许一个set-cookie的问题？我们正在使用带有mod-security的nginx，并且看到nginx在来自应用服务器的响应中删除了除最后一个set-cookie之外的所有内容。我们将在location部分应用mod-security

    location ~* ^/(test|securitytest|$) {

      ModSecurityEnabled on;
      ModSecurityConfig modsecurity.conf;
      create_full_put_path   on;
      proxy_set_header X-Real-IP $remote_addr;
      proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      proxy_set_header Host $http_host;
      proxy_set_header X-NginX-Proxy true;
      proxy_pass http://app;
      proxy_read_timeout 10;
      proxy_redirect off;
    }

Answer 1

modsecurity+nginx中有一个bug，每个请求都会丢弃除一个cookie之外的所有cookie。它被修复了，看一下：

https://github.com/SpiderLabs/ModSecurity/issues/154