是否可以将nginx响应cookie设置为仅使用http而无需重建?

olhwl3o2  于 2023-01-25  发布在  Nginx
关注(0)|答案(2)|浏览(188)

预期的生产环境将使用AWS EKS nginx入口控制器,因此最好不需要定制构建nginx。
对于本地开发,已经安装了docker映像https://hub.docker.com/r/lautre/nginx-cookie-flag,它应该已经预装了cookie-flag模块。https://geekflare.com/httponly-secure-cookie-nginx/示例中建议的两种方法都已经尝试过了,但似乎都不起作用:

http { 
 ...
 proxy_cookie_path / "/; HTTPOnly;   Secure";
 ...
}

还有

server {
 ...
 proxy_cookie_path / "/; HTTPOnly;   Secure";
 ...
}

特别是令牌"atlassian.xsrf.token"从未被签名为HttpOnly,这是从Web应用程序https://confluence.atlassian.com/adminjiracloud/using-the-issue-collector-776636529.html中的jira插件生成的
问题:
1.发现的大多数示例与上面的相同,外部模块是唯一可用的解决方案吗?

  1. nginx plus版本有这个模块吗,允许默认引用?
gcuhipw9

gcuhipw91#

您也可以使用add_header指令并手动设置cookie来解决此问题
示例

location / {
    add_header Set-Cookie 'MyCookie=SomeValue; Path=/; HttpOnly; Secure';
    proxy_pass http://1.2.3.4;
}
xggvc2p6

xggvc2p62#

不需要编译nginx,只需用途:
proxy_cookie_flags ~ secure httponly;
你可能需要更新你的nginx版本,因为这在nginx 1.12还没有发布,我想它是在1.19中添加的。

相关问题