我们正在努力维护我们应用程序的PCI合规性,并且在审计之后,报告告诉我们,我们需要在我们的Cookie上设置secure标志。 该网站是HTTPS(使用磅为https终止)坐在haproxy面前,服务于一些backened的appservers,如下所示:
CLIENT ->(https)-> [Pound]->[HAProxy] ->(http)-> { app001 | app002 | appNNN }
我已经做了一些研究(谷歌search),但一直没能find任何明确的,但会有任何问题与应用程序服务器设置一个安全的cookie之间的http和平衡器之间的http,它会通过通过https的客户端?
我们的临时环境没有像生产一样设置SSL,所以我无法testing这个,但是我试图想出一个行动计划,看看有没有什么我失踪之前,我们尝试继续前进。
无论与原始服务器的连接是否安全,都可以在cookie上设置安全标志。 客户端解释这个标志,并且如果连接不安全的话,不会实际设置cookie。
根据RFC 6265:
当Cookie具有安全属性时,只有当请求通过安全通道(通常是基于传输层安全性(TLS)的HTTP [RFC2818] )传输时,用户代理才会将cookie包含在HTTP请求中。
请参阅RFC 6265了解更多关于这个标志如何工作(和一般的cookie)。