Einer von euch hat das gefragt.
Ich liebe das Feedback! Es gibt mir eine Idee, was ich schreiben soll.
Zuvor habe ich erklärt, wie man das konfiguriert Apache HTTP Server mit HTTPOnly und Secure Flag, und in diesem Artikel werde ich darüber sprechen, dasselbe auf dem Nginx-Webserver zu tun.
Es kann hilfreich sein, HTTPOnly und Secure im HTTP-Antwortheader zu haben Schützen Sie Ihre Webanwendungen von Cross-Site-Scripting- und Sitzungsmanipulationsangriffe.
Es gibt mehrere Möglichkeiten, dies zu konfigurieren.
- Innerhalb des Anwendungscodes von Entwicklern
- Injizieren von Headern vom Netzwerkrand, F5
- Konfigurieren auf Webservern
Es gibt zwei Möglichkeiten, dies auf dem Nginx-Webserver zu erreichen.
Mit der Direktive "add_header"
Eine einfache Art einzustellen Cookie-Flag als HTTPOnly und Secure in Set-Cookie HTTP-Antwortheader. Erstellen Sie eine Sicherungskopie der erforderlichen Konfigurationsdatei und fügen Sie Folgendes hinzu nginx.conf für http blockieren.
add_header Set-Cookie "Path=/; HttpOnly; Secure";Starten Sie Nginx neu, um die Ergebnisse zu überprüfen
Mit proxy_cookie_path
Eine andere alternative Option ist das Hinzufügen der folgenden Syntax in ssl.conf oder default.conf
proxy_cookie_path / "/; HTTPOnly; Secure";Starten Sie den Nginx neu, um die Ergebnisse anzuzeigen
Verifikation
Wenn Sie Intranet-basierte Websites testen, können Sie die Anforderungsheader mithilfe der Entwicklertools in Chrome untersuchen. Für die Internetverbindung können Sie jedoch eine Online-Verbindung verwenden Tool zur Überprüfung des HTTP-Antwortheader.
Ich hoffe das hilft dabei Sichern und härten Sie den Nginx-Webserver.
