Nginx設置HttpOnly Secure SameSite參數(shù)解決Cookie信息丟失

更新時間：2024年11月10日 10:15:42 作者：風行無痕

本文主要介紹了Nginx中Cookie缺少SameSite屬性的問題,并詳細解釋了HttpOnly、Secure和SameSite屬性的作用,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

一、背景說明

項目中使用了Nginx作為反向代理來訪問系統(tǒng)，在漏洞掃描的過程中發(fā)現(xiàn)Cookie缺少 SameSite 屬性。我們需要將SameSite屬性設置為Strict或者 Lax。

二、Cookie安全相關屬性

HttpOnly ：

在Cookie中設置了“HttpOnly”屬性，通過程序(JS腳本、Applet等)將無法讀取到Cookie信息。
將HttpOnly 設置為true 防止程序獲取cookie后進行攻擊。

Secure ：

安全性，指定Cookie是否只能通過https協(xié)議訪問，一般的Cookie使用HTTP協(xié)議既可訪問。
設置了Secure （沒有值），則只有當使用https協(xié)議連接時cookie才可以被頁面訪問?？捎糜诜乐剐畔⒃趥鬟f的過程中被監(jiān)聽捕獲后信息泄漏。

SameSite：

Chrome瀏覽器在51版本后為 Cookie 新增的屬性，用來防止 CSRF 攻擊和用戶追蹤。可以設置三個值：Strict、 Lax、 None

Strict：完全禁止第三方 Cookie，跨站點時，任何情況下都不會發(fā)送 Cookie。換言之，只有當前網頁的 URL 與請求目標一致，才會帶上 Cookie。Set-Cookie: CookieName=CookieValue; SameSite=Strict;
Lax：規(guī)則稍稍放寬，大多數(shù)情況也是不發(fā)送第三方 Cookie，但是導航到目標網址的 Get 請求除外。Set-Cookie: CookieName=CookieValue; SameSite=Lax；設置了Strict或Lax以后，基本就杜絕了 CSRF 攻擊。當然，前提是用戶瀏覽器支持 SameSite 屬性。
None：Chrome 計劃將Lax變?yōu)槟J設置。這時，網站可以選擇顯式關閉SameSite屬性，將其設為None。不過，前提是必須同時設置Secure屬性（Cookie 只能通過 HTTPS 協(xié)議發(fā)送），否則無效。Set-Cookie: key=value; SameSite=None; Secure

瀏覽器F12 在網絡下查看當前狀態(tài)，SameSite屬性缺失，我們需要通過配置nginx將SameSite屬性設置為Strict或者 Lax。

三、配置路徑

在nginx.conf 的 location 節(jié)點下進行配置

add_header Set-Cookie 'Path=/;httponly; Secure; SameSite=Lax';

下面是完整的 location 節(jié)點配置

server {
		listen 443 ssl;
		server_name test.app.com;
		root html;
		index index.html index.htm;
		
		ssl_certificate C:/nginx/cert/client.pem;
		ssl_certificate_key C:/nginx/cert/private.key;
		
		ssl_session_timeout 4h;
		# Enable SSL cache to speed up
		ssl_session_cache shared:SSL:10m;
		
		# intermediate configuration
		ssl_protocols TLSv1.2 TLSv1.3;
		ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-CHACHA20-POLY1305;
		ssl_prefer_server_ciphers off;
		
		client_max_body_size 100m;

		proxy_http_version  1.1;
		
		proxy_set_header  X-Real-IP  $remote_addr;
		proxy_set_header Host $host;
		proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;	
		# HTTP Force Jump to HTTPS
		proxy_redirect http:// $scheme://;


		# To resolve nginx 504 issue
		proxy_connect_timeout 1800s;
		proxy_send_timeout 1800s;
		proxy_read_timeout 1800s;
		
		client_body_timeout 1800s;
		
		# Nginx status
		location /nginxstatus {
			stub_status on;
			access_log logs/nginx-status-$logdate.log;
			auth_basic "NginxStatus"; 
		}
			
		# Application
		location /api{
            # 設置HttpOnly Secure SameSite參數(shù)解決Cookie跨域丟失
			add_header Set-Cookie 'Path=/;httponly; Secure; SameSite=Lax';
			proxy_pass http://127.0.0.1:8080;
			
		}
		
}

修改后的情況

到此這篇關于Nginx設置HttpOnly Secure SameSite參數(shù)解決Cookie信息丟失的文章就介紹到這了,更多相關Nginx HttpOnly Secure SameSite參數(shù)內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

Nginx下將http改為https的操作步驟
HTTPS是HTTP協(xié)議的安全版本,通過使用SSL（安全套接層）或TLS（傳輸層安全）協(xié)議加密通信,為數(shù)據(jù)傳輸提供了保密性、完整性和身份認證,本文給大家介紹了Nginx下將http改為https的操作方法,需要的朋友可以參考下
2024-08-08
Nginx的c30k問題解決方法
這篇文章主要介紹了Nginx的c30k問題解決方法,本文同時探討了Nginx AIO的使用問題,需要的朋友可以參考下
2014-09-09
Nginx進程調度問題詳解
Nginx采用的是固定數(shù)量的多進程模型，由一個主進程（MasterProcess）和數(shù)量與主機CPU核數(shù)相同的工作進程協(xié)同處理各種事件。這篇文章主要介紹了Nginx進程調度問題,需要的朋友可以參考下
2021-09-09
Nginx實現(xiàn)ChatGPT?API代理步驟
這篇文章主要為大家介紹了Nginx實現(xiàn)ChatGPT?API代理步驟詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步，早日升職加薪
2023-05-05
Nginx反向代理springboot的jar包過程解析
這篇文章主要介紹了Nginx反向代理springboot的jar包過程解析,文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下
2020-05-05
服務器的負載均衡nginx+tomcat實現(xiàn)動靜分離
這篇文章主要為大家介紹了服務器的負載均衡nginx+tomcat實現(xiàn)動靜分離的案例實施步驟以及環(huán)境詳解，有需要的朋友可以借鑒參考下，希望能夠有所幫助，祝大家多多進步
2022-03-03
lnmp環(huán)境中如何為nginx開啟pathinfo
這篇文章主要介紹了lnmp環(huán)境中如何為nginx開啟pathinfo的方法，操作很簡單,需要的朋友可以參考下
2015-01-01
Nginx實現(xiàn)404頁面的方法小結
這篇文章主要介紹了Nginx實現(xiàn)404頁面的方法小結,需要的朋友可以參考下
2017-08-08
Nginx如何封禁IP和IP段的實現(xiàn)
這篇文章主要介紹了Nginx如何封禁IP和IP段的實現(xiàn)，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2020-07-07
關于使用Keepalived實現(xiàn)Nginx的自動重啟及雙主熱備高可用問題
這篇文章主要介紹了使用Keepalived實現(xiàn)Nginx的自動重啟及雙主熱備高可用,本文通過幾個問題解析幫助大家學習Keepalived實現(xiàn)Nginx的自動重啟的相關知識，需要的朋友可以參考下
2021-09-09