如何在Nginx中实现HTTPOnly和Secure Cookie？

你们中的一个人问了这个问题。

我喜欢这个反馈！它给了我写作的灵感。

之前，我解释了如何在HTTP响应头中配置带有HTTPOnly和Secure标志的Apache HTTP server，在本文中，我将讨论如何在Nginx Web服务器上进行相同的操作。

在HTTP响应头中设置HTTPOnly和Secure可以帮助防止跨站脚本和会话操纵攻击。

有多种方法可以进行此配置。

• 开发人员可以在应用程序代码中进行
• 从网络边缘注入头信息，F5
• 在Web服务器上进行配置

Nginx Web服务器有两种可能的实现方式。

使用“add_header”指令

一种简单的方法是在nginx.conf的http块中添加以下代码，以在Set-Cookie HTTP响应头中设置cookie flag as HTTPOnly and Secure。

add_header Set-Cookie "Path=/; HttpOnly; Secure";

重新启动Nginx以验证结果。

使用proxy_cookie_path指令

另一种替代方案是在ssl.conf或default.conf中添加以下语法。

proxy_cookie_path / "/; HTTPOnly; Secure";

重新启动Nginx以查看结果。

验证

如果你在测试内部网站，你可以使用Chrome的“开发者工具”来检查请求头。然而，对于面向互联网的网站，你可以使用在线的HTTP response header checker tool。

希望这对你有所帮助secure & harden the Nginx web server。