我在ubuntu 14.04上用php5.5.9使用nginx 1.12.1。 我有这个下面的php.ini设置:
session.cookie_secure = 1 session.use_only_cookies = 1 session.name = PHPSESSID session.auto_start = 0 session.cookie_lifetime = 0 session.cookie_path = / session.cookie_domain = session.cookie_httponly = 1 我已经安装了nginx-extras,并在/etc/nginx/nginx.conf主文件more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure'; more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure';
但我似乎仍然有set-cookie:; secure 像我没有设置上游会话设置一样set-cookie:; secure我的标题。 我也在serverfault.com上find这个nginx模块https://github.com/AirisX/nginx_cookie_flag_module,但只要它不是核心nginx构build的一部分,我不喜欢使用它,也不热衷于手动构buildnginx。
这给我留下了这个问题。
问题1 :由于HttpOnly仍然是OWASP前10名单的一部分,并且被所有漏洞扫描器持续扫描,为什么nginx不能为此提供清晰的代理头?
问题2 :除了所有的哲学考虑,如何在2017年设置Nginx的Cookie安全?
提前致谢