Nginx设置HttpOnly Secure SameSite参数解决Cookie信息丢失
更新时间:2024年11月10日 10:15:42 作者:风行無痕
本文主要介绍了Nginx中Cookie缺少SameSite属性的问题,并详细解释了HttpOnly、Secure和SameSite属性的作用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
一、背景说明
项目中使用了Nginx作为反向代理来访问系统,在漏洞扫描的过程中发现Cookie缺少 SameSite 属性。我们需要将SameSite属性设置为Strict或者 Lax。
二、Cookie安全相关属性
HttpOnly :
- 在Cookie中设置了“HttpOnly”属性,通过程序(JS脚本、Applet等)将无法读取到Cookie信息。
- 将HttpOnly 设置为true 防止程序获取cookie后进行攻击。
Secure :
- 安全性,指定Cookie是否只能通过https协议访问,一般的Cookie使用HTTP协议既可访问。
- 设置了Secure (没有值),则只有当使用https协议连接时cookie才可以被页面访问。可用于防止信息在传递的过程中被监听捕获后信息泄漏。
SameSite:
Chrome浏览器在51版本后为 Cookie 新增的属性,用来防止 CSRF 攻击和用户追踪。可以设置三个值:Strict、 Lax、 None
- Strict:完全禁止第三方 Cookie,跨站点时,任何情况下都不会发送 Cookie。换言之,只有当前网页的 URL 与请求目标一致,才会带上 Cookie。Set-Cookie: CookieName=CookieValue; SameSite=Strict;
- Lax:规则稍稍放宽,大多数情况也是不发送第三方 Cookie,但是导航到目标网址的 Get 请求除外。Set-Cookie: CookieName=CookieValue; SameSite=Lax;设置了Strict或Lax以后,基本就杜绝了 CSRF 攻击。当然,前提是用户浏览器支持 SameSite 属性。
- None:Chrome 计划将Lax变为默认设置。这时,网站可以选择显式关闭SameSite属性,将其设为None。不过,前提是必须同时设置Secure属性(Cookie 只能通过 HTTPS 协议发送),否则无效。Set-Cookie: key=value; SameSite=None; Secure
浏览器F12 在网络下查看当前状态,SameSite属性缺失,我们需要通过配置nginx将SameSite属性设置为Strict或者 Lax。
三、配置路径
在nginx.conf 的 location 节点下进行配置
add_header Set-Cookie 'Path=/;httponly; Secure; SameSite=Lax';
下面是完整的 location 节点配置
server {
listen 443 ssl;
server_name test.app.com;
root html;
index index.html index.htm;
ssl_certificate C:/nginx/cert/client.pem;
ssl_certificate_key C:/nginx/cert/private.key;
ssl_session_timeout 4h;
# Enable SSL cache to speed up
ssl_session_cache shared:SSL:10m;
# intermediate configuration
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off;
client_max_body_size 100m;
proxy_http_version 1.1;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
# HTTP Force Jump to HTTPS
proxy_redirect http:// $scheme://;
# To resolve nginx 504 issue
proxy_connect_timeout 1800s;
proxy_send_timeout 1800s;
proxy_read_timeout 1800s;
client_body_timeout 1800s;
# Nginx status
location /nginxstatus {
stub_status on;
access_log logs/nginx-status-$logdate.log;
auth_basic "NginxStatus";
}
# Application
location /api{
# 设置HttpOnly Secure SameSite参数解决Cookie跨域丢失
add_header Set-Cookie 'Path=/;httponly; Secure; SameSite=Lax';
proxy_pass http://127.0.0.1:8080;
}
}修改后的情况
到此这篇关于Nginx设置HttpOnly Secure SameSite参数解决Cookie信息丢失的文章就介绍到这了,更多相关Nginx HttpOnly Secure SameSite参数内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
本文详细介绍了在树莓派上安装和配置Nginx作为Web服务器的全过程,包括系统更新、Nginx安装、服务启动、配置文件修改、虚拟主机设置、防火墙配置、自动启动设置、HTTPS配置以及定期日志检查等步骤,通过这些步骤,可以成功将树莓派设置为运行Web服务的服务器2024-11-11
Nginx (engine x) 是一个高性能的HTTP和反向代理web服务器,同时也提供了IMAP/POP3/SMTP服务。本文详细讲解了Nginx安装与配置的方法,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2022-06-06
在当今数字化的快节奏世界中,我们的网络应用就像是繁忙的交通枢纽,每天都要处理海量的请求,我们需要一种像“备用路线”一样的机制,也就是请求的超时自动重试,本文就给大家介绍了Nginx 中怎样实现请求的超时自动重试,需要的朋友可以参考下2024-07-07
负载均衡(load-balance)就是将负载分摊到多个操作单元上执行,从而提高服务的可用性和响应速度,带给用户更好的体验,本文给大家介绍nginx 负载均衡轮询方式配置,感兴趣的朋友一起看看吧2022-03-03
这篇文章主要介绍了nginx通过location配置代理的原理和实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2025-03-03
解决httpd占用80端口导致Nginx启动失败报错的解决办法
今天在建自己小网站时启动Nginx时,发现其报下列错误,意思是因为80端口被占用导致Nginx启动失败,所以本文小编给大家介绍介绍如何解决解决httpd占用80端口导致Nginx启动不成功报nginx: [emerg] bind() to 0.0.0.0:80 failed (98: Address already in use)2023-11-11
本篇文章主要介绍了nginx服务器中的安全配置,较为详细的分析了nginx服务器中的安全配置与相关操作注意事项,需要的朋友可以参考下。2016-10-10
详解实现Nginx+Tomcat实现单IP、多域名、多站点的访问
这篇文章主要介绍了详解实现Nginx+Tomcat实现单IP、多域名、多站点的访问的相关资料,这里提供实例帮助到大家实现改功能,希望能帮助到大家,需要的朋友可以参考下2017-08-08
Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For的实现
我们大多数情况下访问服务时,客户端并不是直接访问到服务器的,本文主要介绍了Nginx 获取客户端真实IP $remote_addr与X-Forwarded-For的实现,具有一定的参考价值,感兴趣的可以了解一下2024-03-03
在日常的生产环境中,网站可能会遭遇恶意请求、DDoS 攻击或其他有害的访问行为,为了应对这些情况,动态封禁 IP 是一项十分重要的安全策略,本篇博客将介绍如何通过 NGINX 实现动态封禁 IP,从配置到自动化的实现步骤,需要的朋友可以参考下2025-02-02
最新评论