Nginx:安全且仅限httponly的cookie

Question

有关于如何在Nginx中做到这一点的想法吗？

我试过用

proxy_cookie_path / "/; HTTPOnly; Secure";

但它不起作用，尝试为https://github.com/AirisX/nginx_cookie_flag_module创建模块

但我得到一个错误：

2018/11/08 19:13:59 [emerg] 20894#20894: module "/etc/nginx/modules/ngx_http_cookie_flag_filter_module.so" is not binary compatible in /etc/nginx/nginx.conf:4

有什么建议吗？

Answer 1

它是文档化的here。摘自文章：

Anton Saraykin开发的名为nginx_cookie_flag的Nginx模块允许您在Set-Cookie HTTP响应头中快速将cookie标志设置为HTTPOnly和Secure。

您需要记住的一件事是，您需要通过添加模块从源代码构建Nginx。

例如：

--add-module=/path/to/nginx_cookie_flag_module

一旦使用上述模块构建了Nginx，您可以在相应的配置文件中添加以下行in location或server指令

set_cookie_flag HttpOnly secure;

重启Nginx验证结果

Answer 2

proxy_cookie_path应该可以在不需要cookie_flag模块和使用--add-module重新构建nginx的情况下工作。

我使用的是nginx 1.10版本，而proxy_cookie_path无法工作。然而，一旦我将nginx升级到1.16.1版本，它就可以正常工作，而不需要额外的模块。以下是步骤。

yum install http://nginx.org/packages/rhel/6Server/x86_64/RPMS/nginx-1.16.1-1.el6.ngx.x86_64.rpm

通过运行nginx -v确保nginx版本，然后在服务器下的nginx配置中添加以下内容

proxy_cookie_path / "/; HTTPOnly; Secure";

重启nginx并检查。

Answer 3

不需要额外的模块，也不需要使用Nginx 1.19.3版本的proxy_cookie_path重写cookie。你可以使用新的配置：proxy_cookie_flags。

对于所有cookie使用：

proxy_cookie_flags ~ secure samesite=strict;

对于您可以使用的一些cookie(或正则表达式)：

proxy_cookie_flags one httponly;

这将根据指定的规则将标志添加到您的cookie中。

有关详细信息，请参阅文档：https://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_flags