প্রিন্সড সার্ভার থেকে কুকিজে এনগিনেক্স নিরাপদ পতাকা যুক্ত করুন

মোজিলা আপনার ওয়েবসাইটের কনফিগারেশনটি পরীক্ষা করার জন্য একটি নতুন সরঞ্জাম সবেমাত্র প্রকাশ করেছে। observatory.mozilla.org

তবে স্ক্যানটি কুকিজ সম্পর্কে অভিযোগ করছে (-10 পয়েন্ট): সিকিউর পতাকা ব্যতীত সেশন কুকি সেট করা হয়েছে ...

দুর্ভাগ্যক্রমে আমার এনজিঙ্ক্সের পিছনে চলমান পরিষেবাটি কেবল এসএসএল সরাসরি বন্ধ হয়ে যায় এবং এসএসএল যখন এনজিঙ্কসে শেষ হয় তখনই কেবল নিরাপদ শিরোনাম সেট করতে পারে। সুতরাং কুকিজে "সুরক্ষিত" পতাকা সেট করা হয় না।

কোনওভাবে nginx ব্যবহার করে কুকিজগুলিতে "সুরক্ষিত" পতাকাটি যুক্ত করা সম্ভব? অবস্থান / পথটিকে সংশোধন করা সম্ভব বলে মনে হচ্ছে।

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_domain

http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_cookie_path

আমি এটি করতে বাছাই করার দুটি উপায় জানি, তাদের দুটিও দুর্দান্ত নয়। প্রথমটি হ'ল কেবলমাত্র প্রক্সি_কুকি_পথটিকে এভাবে ব্যবহার করা:

proxy_cookie_path / "/; secure";

দ্বিতীয় থেকে more_set_headers নির্দেশ ব্যবহার করা শিরোলেখ আরো ভালো মডিউল:

more_set_headers 'Set-Cookie: $sent_http_set_cookie; secure';

এগুলি উভয়ই সমস্যার পরিচয় দিতে পারে কারণ তারা অন্ধভাবে আইটেমগুলি যুক্ত করে। উদাহরণস্বরূপ যদি প্রবাহটি সুরক্ষিত পতাকা সেট করে তবে আপনি ক্লায়েন্টকে এর মতো একটি নকল প্রেরণ করবেন wind

Set-Cookie: foo=bar; secure; secure;

এবং দ্বিতীয় ক্ষেত্রে যদি আপস্ট্রিম অ্যাপটি কোনও কুকি এনগিনেক্স সেট না করে থাকে তবে এটি ব্রাউজারে প্রেরণ করবে:

Set-Cookie; secure;

এটি অবশ্যই ডাবলপ্লাসংগুড।

আমি মনে করি যে এই সমস্যাটি সমাধান করা দরকার যেহেতু অনেকে এটি সম্পর্কে জিজ্ঞাসা করেছেন। আমার মতে একটি নির্দেশকের এমন কিছু দরকার:

proxy_cookie_set_flags * HttpOnly;
proxy_cookie_set_flags authentication secure HttpOnly;

তবে হায়, এটি বর্তমানে বিদ্যমান নেই :(

Nginx_cookie_flag_module ব্যবহার করার চেষ্টা করুন । এটি আপনার সমস্যা সমাধান করবে।

দাবি অস্বীকার: আমি মডিউলটির লেখক।