Nginx Добавить безопасный флаг для файлов cookie с прокси-сервера

Mozilla только что выпустила новый инструмент для проверки конфигурации вашего сайта. observatory.mozilla.org

Но сканирование жалуется на куки-файлы (-10 баллов): сессионные куки-файлы установлены без флага Secure ...

К сожалению, служба, работающая за моим nginx, может установить безопасный заголовок, только если SSL заканчивается там напрямую, а не тогда, когда SSL завершается на nginx. Таким образом, флаг «Безопасный» не установлен на куки.

Можно ли как-то добавить к файлам cookie флаг безопасности с помощью nginx? Изменение местоположения / пути представляется возможным.

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path

Я знаю два способа сделать это, но ни один из них не хорош. Во-первых, просто злоупотребьте proxy_cookie_path следующим образом:

proxy_cookie_path / "/; secure";

Второе - использовать директиву more_set_headers из модуля Headers More следующим образом:

more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure';

Оба из них могут создавать проблемы, потому что они слепо добавляют элементы. Например, если вышестоящий поток установит флаг безопасности, вы отправите клиенту дубликат, например так:

Set-Cookie: foo=bar; secure; secure;

и во втором случае, если вышестоящее приложение не устанавливает cookie, nginx отправит это в браузер:

Set-Cookie; secure;

Это вдвойне хорошо, конечно.

Я думаю, что эта проблема должна быть решена, поскольку многие люди спрашивали об этом. На мой взгляд, директива нужна примерно так:

proxy_cookie_set_flags * HttpOnly;
proxy_cookie_set_flags authentication secure HttpOnly;

но увы, этого в настоящее время не существует :(

Попробуйте использовать nginx_cookie_flag_module . Это решит вашу проблему.

Отказ от ответственности: я являюсь автором модуля.