你们其中一个问。
文章图片
【如何在Nginx中实现HTTPOnly和安全Cookie()】我喜欢反馈!它给了我写些什么的想法。
之前, 我解释了如何使用HTTPOnly和Secure标志配置Apache HTTP服务器, 在本文中, 我将讨论在Nginx Web服务器上执行相同的操作。
在HTTP响应标头中包含HTTPOnly和Secure可以帮助保护你的Web应用程序免受跨站点脚本和会话操纵攻击。
有多种方法进行配置。
- 在开发人员的应用程序代码中
- 从网络边缘F5注入标头
- 在Web服务器上配置
通过使用” nginx_cookie_flag_module” 模块
Anton Saraykin的一个名为Nginx_cookie_flag的Nginx模块使你可以在Set-Cookie HTTP响应标头中快速将cookie标志设置为HTTPOnly和Secure。
需要记住的一件事是, 你需要通过添加模块从源代码构建Nginx。
例如:
--add-module=/path/to/nginx_cookie_flag_module一旦使用上述模块构建了Nginx, 就可以在相应的配置文件中的location或server指令中添加以下行
set_cookie_flag HttpOnly secure;
重新启动Nginx以验证结果
通过使用proxy_cookie_path
另一个替代方法是在ssl.conf或default.conf中添加以下语法
proxy_cookie_path / "/;
HTTPOnly;
Secure";
重新启动Nginx以查看结果
验证
如果你要测试基于Intranet的站点, 则可以使用Chrome中的” 开发人员工具” 检查请求标头。但是, 对于面向Internet的用户, 可以使用在线HTTP响应标头检查器工具。
我希望这有助于保护和加固Nginx Web服务器。
推荐阅读
- 如何在Nginx上安装和配置ModSecurity
- 在Apache中使用HttpOnly和Secure标志保护cookie
- JDK和Applets
- 使用Apache poi和android的HSSFCellStyle错误
- 在Android中使用Apache POI时的兼容性问题
- 使用地理编码器和Android Google Maps API v2获取经度和纬度
- 在Android中,我应该使用什么来在图像上创建可移动对象()
- 使用Paperclip保存照片时,Rails app“无法分配内存”
- 如何通过ADB向Android设备发送语音命令