¿Cómo implementar HTTPOnly y Secure Cookie en Nginx?

Uno de ustedes preguntó esto

Me encantan los comentarios Me da una idea de lo que tengo que escribir

Anteriormente, expliqué cómo configurar el servidor HTTP Apache con la bandera HTTPOnly y Secure, y en este artículo, hablaré de hacer lo mismo en el servidor web Nginx

Tener HTTPOnly y Secure en la cabecera de respuesta HTTP puede ayudar a proteger sus aplicaciones web de ataques de cross-site scripting y manipulación de sesión

Hay múltiples formas de configurar esto

• Dentro del código de la aplicación por los desarrolladores
• Inyectando cabeceras desde el borde de la red, F5
• Configurando en los servidores web

Hay dos formas posibles de conseguirlo en el servidor web Nginx

Utilizando la directiva "add_header

Una forma fácil de establecer la bandera de cookies como HTTPOnly y Secure en la cabecera de respuesta HTTP Set-Cookie. Haga una copia de seguridad del archivo de configuración necesario y añada lo siguiente en nginx.conf bajo el bloque http

add_header Set-Cookie "Path=/; HttpOnly; Secure"

Reinicie Nginx para verificar los resultados

Utilizando proxy_cookie_path

Otra opción alternativa es añadir la siguiente sintaxis en ssl.conf o default.conf

proxy_cookie_path / "/; HTTPOnly;

Asegure"
Reinicie el Nginx para ver los resultados

Verificación

Si está probando sitios basados en Intranet, puede utilizar las "Herramientas para desarrolladores" de Chrome para examinar las cabeceras de las solicitudes. Sin embargo, para sitios orientados a Internet, puede utilizar una herramienta en línea de comprobación de encabezados de respuesta HTTP

Espero que esto le ayude a asegurar y endurecer el servidor web Nginx.