试图用Nginx代替Apache作为一些Tomcat服务器之前的Web代理,处理Set-Cookie JSESSIONID被certificate是具有挑战性的。 我们的Tomcat内容由Cache-Control和Set-Cookie提供。
在Apache中,我们可以通过使用CacheIgnoreHeaders Set-Cookie来完全caching基于Cache-Control的caching…这里是重要的部分:caching的内容没有Set-Cookie,所以我们避免会话泄漏。 但是在Nginx中, proxy_ignore_headers Set-Cookie将回proxy_ignore_headers Set-Cookie Cache-Control来决定是否caching一个页面…但是caching的内容随后被提供给JSESSIONID。
添加proxy_hide_header Set-Cookie从所有提供的内容中删除JSESSIONID,caching与否,意味着整个站点变为无状态。