L'un de vous a posé la question.
J'adore les commentaires! Cela me donne une idée de ce qu'il faut écrire.
Auparavant, j'ai expliqué comment configurer le Serveur HTTP Apache avec l'indicateur HTTPOnly et Secure, et dans cet article, je parlerai de faire la même chose sur le serveur Web Nginx.
Avoir HTTPOnly et Secure dans l'en-tête de réponse HTTP peut aider à protégez vos applications web à partir de attaques de scripts intersites et de manipulation de session.
Il existe plusieurs façons de configurer cela.
- Dans le code d'application par les développeurs
- Injection d'en-têtes depuis la périphérie du réseau, F5
- Configuration sur les serveurs Web
Il existe deux façons possibles d'y parvenir sur le serveur Web Nginx.
En utilisant la directive "add_header"
Un moyen facile de régler indicateur de cookie comme HTTPOnly et Secure in Set-Cookie En-tête de réponse HTTP. Effectuez une sauvegarde du fichier de configuration nécessaire et ajoutez ce qui suit dans nginx.conf sous http bloque.
add_header Set-Cookie "Path=/; HttpOnly; Secure";Redémarrez Nginx pour vérifier les résultats
En utilisant proxy_cookie_path
Une autre option consiste à ajouter la syntaxe ci-dessous dans ssl.conf ou default.conf
proxy_cookie_path / "/; HTTPOnly; Secure";Redémarrez le Nginx pour voir les résultats
Vérification
Si vous testez des sites intranet, vous pouvez utiliser les «outils de développement» dans Chrome pour examiner les en-têtes de la requête. Cependant, pour une connexion Internet, vous pouvez utiliser un Outil de vérification des en-têtes de réponse HTTP.
J'espère que cela aide à sécuriser et renforcer le serveur Web Nginx.
